tftp - irriterende!

... Når størrelsen er 0 er det pga indstilling i firewall'en. Før denne indstilling voksede filen løbende.

Hvad srår der i IIS logfilerne?

Har du husket at opdatere med alle de ting som er på Windows update?

Jeg har iis og w2k sp'er installeret.
Er det iis5.log? og hvad skal jeg kigge efter, den ser uoverskuelig ud for mig?!

I IIS manageren .... højreklik på dit site -> properties -> (nede i bunden) properties  Her kan du se hvor de er gemt henne og hvad filerne hedder.

De plejer at være placeret i c:\winnt\system32\logfiles

Jeg har fundet dem. Kan du sige, hvad jeg skal se efter? Der er fx. mange linier som:
-tider - ..  GET /_vti_bin/..%5c..  /winnt/system32/cmd.exe 200
og
-tider - ..  GET /scripts/../../winnt/system32/cmd.exe 404
m.fl. med forskellige talangivelser.

Det er i hvert falde folk som prøver at cracke/hacke din webserver!

Jeg vil stærkt anbefale at du installere http://www.microsoft.com/downloads/release.asp?ReleaseID=33961&area=search&ordinal=2

Denne indeholder bla. et tool som hedder UrlScan, som fjerne disse forsøg!

Kan du give et eksempel på en linie, som du ikke har rettet i?

Jeg forstår ikke helt hvad du mener! Rettet hvorhenne?

-tider - ..  GET /_vti_bin/..%5c..  /winnt/system32/cmd.exe 200

Altså noget fra din log

Her er nogle stykker der er taget i sammenhæng:

13:34:42 131.164.166.148 GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe 502
13:34:46 131.164.166.148 GET /_vti_bin/..%5c../..%5c../..%5c../httpodbc.dll 500
13:34:51 131.164.166.148 GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe 404
13:34:56 131.164.166.148 GET /msadc/..%5c../..%5c../..%5c/..Á../..Á../..Á../winnt/system32/cmd.exe 500
13:35:01 131.164.166.148 GET /scripts/..Á../winnt/system32/cmd.exe 404
13:35:07 131.164.166.148 GET /scripts/winnt/system32/cmd.exe 404
13:35:13 131.164.166.148 GET /scripts/../../winnt/system32/cmd.exe 500
13:35:18 131.164.166.148 GET /scripts/..\../winnt/system32/cmd.exe 500
13:35:23 131.164.166.148 GET /scripts/..%5c../winnt/system32/cmd.exe 500

Ja, den maskine som har IP adressen 131.164.166.148 prøver at se om din webserver har nogle sårbarheder!

Men brug det program (IIS LockDown) som jeg har skrevet et linket til, da det vil gøre at sådanne forsøg bliver afvist.

Er du teledanmark kunde?

Ja-det er jeg. Har også spurgt dér, men de står uforstående over for problemet - siger de.
Jeg har hentet den. Tror du IIS-sp1 er tilstrækkeligt inden installation?
Og har du nogen erfaring med NorMAN av og firewall? Jeg har tænkt på måske at investere i Norton AV og Firewall istedet?

Iøvrigt tak for hjælpen. Håber et der er points nok!

Point er fint.

Mht. firewall og antivirus...

Det er ikke så mange firewalls som kan gøre noget ved den slags hacking der forsøges der. Det er nemlig helt normale http requests, som bliver sendt til din server. Antivius kan du godt lægge på, men dette vil heller ikke gøre noget, med mindre at der er nogen som uploader noget til dig og med lidt hjælp får startet den fil de får uploadet.

NorMAN kender jeg kun af navn.

Installere alt inde fra http://windowsupdate.microsoft.com

Ok og mange tak!