Archief - De topics van lang geleden

IIS - Logging

07-01-2004, 19:11 door knert, 6 reacties
Ik zat vanavond even in de logging van mijn IIS te kijken en kwam daar het
volgende tegen:

19:58:55 213.104.65.118 GET /scripts/root.exe 404
19:58:55 213.104.65.118 GET /MSADC/root.exe 404
19:58:55 213.104.65.118 GET /c/winnt/system32/cmd.exe 404
19:58:55 213.104.65.118 GET /d/winnt/system32/cmd.exe 404
19:58:56 213.104.65.118 GET /scripts/..%5c../winnt/system32/cmd.exe 404
19:58:56 213.104.65.118 GET /_vti_bin/..%5c../..%5c../..%
5c../winnt/system32/cmd.exe 500
19:58:57 213.104.65.118 GET /_mem_bin/..%5c../..%5c../..%
5c../winnt/system32/cmd.exe 404
19:58:57 213.104.65.118 GET /msadc/..%5c../..%5c../..%
5c/..Á../..Á../..Á../winnt/system32/cmd.exe 404
19:58:59 213.104.65.118 GET /scripts/..Á../winnt/system32/cmd.exe 404
19:58:59 213.104.65.118 GET /scripts/winnt/system32/cmd.exe 404
19:59:01 213.104.65.118 GET /winnt/system32/cmd.exe 404
19:59:02 213.104.65.118 GET /winnt/system32/cmd.exe 404
19:59:02 213.104.65.118 GET /scripts/..%5c../winnt/system32/cmd.exe 404
19:59:04 213.104.65.118 GET /scripts/..%5c../winnt/system32/cmd.exe 404
19:59:05 213.104.65.118 GET /scripts/..%5c../winnt/system32/cmd.exe 404
19:59:07 213.104.65.118 GET /scripts/..%2f../winnt/system32/cmd.exe 404

Aangezien het een voor mij onbekend IP-adres is, lijkt het erop dat iemand
toegang tot mijn systeem probeert te krijgen.

Hoe kan ik mij het best hier tegen beschermen?
Reacties (6)
07-01-2004, 19:23 door Anoniem
IIS blijven updaten....of wat sommige anti MS puntjepuntjepuntjes zullen
zeggen, stap over naar Linux met Apache. Gewoon lid worden van de
Microsoft Security Bulletins, windowsupdate.microsoft.com goed in de gaten
houden en je bent al zeer goed op weg.
07-01-2004, 20:56 door Anoniem
En dit zie ik dagelijks in de Snort IDS logs op mijn linuxbakje met apache, iets
soortgelijks dus.

[**] [1:1256:7] WEB-IIS CodeRed v2 root.exe access [**]
[Classification: Web Application Attack] [Priority: 1]
01/06-04:24:39.012661 213.37.69.109:4340 -> 172.16.1.4:80
TCP TTL:116 TOS:0x0 ID:22604 IpLen:20 DgmLen:110
***AP*** Seq: 0x72B9BFBA Ack: 0x4B052317 Win: 0x411A TcpLen: 20
[Xref => http://www.cert.org/advisories/CA-2001-19.html]

[**] [1:1002:5] WEB-IIS cmd.exe access [**]
[Classification: Web Application Attack] [Priority: 1]
01/06-04:24:39.300933 213.37.69.109:4343 -> 172.16.1.4:80
TCP TTL:116 TOS:0x0 ID:22619 IpLen:20 DgmLen:120
***AP*** Seq: 0x72BC75DF Ack: 0x4AA07A63 Win: 0x411A TcpLen: 20

Je begrijpt dus wel dat dit o.a. de oude en vertrouwde CodeRed aanvallen
zijn. Als je niet gepatched hebt tegen alle IIS wormen, is nu je Windowsbak
besmet en dus een plaag op het internet geworden.
07-01-2004, 21:01 door Anoniem
Oh ja,

Aangezien in jouw log aan het eind van elke regel 404 staat betekent dit niets
anders dan Page not Found!! ofwel toegang tot gevraagde bestand
geweigerd. Er is dus niets aan de hand.
08-01-2004, 16:28 door SirDice
Dit is dus GEEN Code Red (die maakt namelijk misbruik van een BO in
ida.dll; default.ida?XXXXX etc.). Gezien de logs is dit een Nimda
geinfecteerde machine die staat te proben.
07-12-2004, 17:56 door Anoniem
ja dat lijkt mij ook zo te zijn
er word geprobeert om binnente komen in het adress dat ze
hebben
om vervolgens te doen wat ze willen doen
maar misschien kunnen ze niets doen omdat wat ze zoeken niet
aanwezig is
ik bedoel
staat er iets op je computer wat belangrijk lijkt
maar het is een vervelend iets
gewoon blokken met je firewall of router
08-12-2004, 10:45 door Jeroen Wijnands
Ik zie dit soort dingen zelfs in m'n apache logs. Patches
bijhouden en de echt vasthoudende sufferds blokken in je
firewall.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search