/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Tolkning af Logfil fra IIS server
Fra : Finn


Dato : 09-04-05 19:19

Hvordan tolker jeg dette indhold i min log:
- at flere har prøvet at eksekvere cmd.exe og med hvad formål ?




<SNIP>
#Software: Microsoft Internet Information Services 5.1
#Version: 1.0
#Date: 2005-04-09 01:14:43
#Fields: time c-ip cs-method cs-uri-stem sc-status
01:14:43 65.167.57.110 get /winnt/system32/cmd.exe 501
02:27:50 66.99.52.219 get /winnt/system32/cmd.exe 501
02:27:50 66.99.52.219 get /winnt/system32/cmd.exe 501
07:15:13 81.135.204.91 get /winnt/system32/cmd.exe 501
08:44:50 205.237.52.27 get /winnt/system32/cmd.exe 501
<SNIP>



 
 
Anders Lund (10-04-2005)
Kommentar
Fra : Anders Lund


Dato : 10-04-05 07:58

Finn wrote:
> Hvordan tolker jeg dette indhold i min log:
> - at flere har prøvet at eksekvere cmd.exe og med hvad formål ?

At se om din server er sat forkert op / ikke er opdateret. Hvis man kan
få fat i cmd.exe kan man helt sikkert også lavet andet på et sådan system.

En søgning siger også at Nimda angriber upatchet IIS servere på den måde.

--
Anders Lund - anders@andersonline.dk
Take back the web - www.mozilla.org/firefox
I have plenty of Gmail invites - just ask!

Christian E. Lysel (10-04-2005)
Kommentar
Fra : Christian E. Lysel


Dato : 10-04-05 10:28

Finn wrote:
> Hvordan tolker jeg dette indhold i min log:
> - at flere har prøvet at eksekvere cmd.exe og med hvad formål ?

Nej, umiddelbart har de prøvet at hente /winnt/system32/cmd.exe.

Alt efter hvordan webserveren er sat op kan ovenstående betyde at
cmd.exe bliver afvikler, evt. med en række argumenter, du ikke kan se,
da logningen er sat op til standarden....Du kan evt. slå mere logning
til for at se specifikt hvad de forsøger på.

Jeg gætter formålet på sigt er at opnå uautoriseret adgang til din
webserver.

> <SNIP>
> #Software: Microsoft Internet Information Services 5.1
> #Version: 1.0
> #Date: 2005-04-09 01:14:43
> #Fields: time c-ip cs-method cs-uri-stem sc-status
> 01:14:43 65.167.57.110 get /winnt/system32/cmd.exe 501

sc-status kan slå op i http://www.w3.org/Protocols/HTTP/HTRESP.html

501 betyder "ikke implementeret", i dit tilfælde har webserveren afvist dem.



--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

Finn (10-04-2005)
Kommentar
Fra : Finn


Dato : 10-04-05 15:46

Tak til jer begge.



Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408924
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste