Hvad kan jeg gøre

Ignorer det... Slet din logfil, og kør videre som om ingenting var sket.... En fejlmelding der for folk til at panikke... Ingen skade

Sort besked at oprette! Du fortæller jo ikke lige hvilken log fil vi snakker om nu?

Er det din logfil på virusscanneren du mener! Kør evt. lige en onlinescanning på http://www.housecall.antivirus.com Hvis den ikke finder noget har du intet. Husk lige at deaktivere din normale virusscanner når du kører housecall.

Han siger jo netop at hans virus scanner ikke kan finde den !!! Hvordan skulle den så være havnet i virus scannerens logfil... i så fald er den blevet slettet... Her er altså heller ikke noget at frygte...

Deter logfilen for min W2K server

Jeg har lige fundet noget mere, og tror ikke at det er en fejl!
2002-09-05 13:08:24 62.194.78.24 - 192.168.1.3 80 GET /scripts/root.exe /c+dir 401 -
2002-09-05 13:08:24 62.194.78.24 - 192.168.1.3 80 GET /MSADC/root.exe /c+dir 403 -
2002-09-05 13:08:25 62.194.78.24 - 192.168.1.3 80 GET /c/winnt/system32/cmd.exe /c+dir 401 -
2002-09-05 13:08:25 62.194.78.24 - 192.168.1.3 80 GET /d/winnt/system32/cmd.exe /c+dir 401 -
2002-09-05 13:08:27 62.194.78.24 - 192.168.1.3 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 401 -
2002-09-05 13:08:27 62.194.78.24 - 192.168.1.3 80 GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 401 -
2002-09-05 13:08:28 62.194.78.24 - 192.168.1.3 80 GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 401 -
2002-09-05 13:08:28 62.194.78.24 - 192.168.1.3 80 GET /msadc/..%5c../..%5c../..%5c/..Á../..Á../..Á../winnt/system32/cmd.exe /c+dir 403 -
2002-09-05 13:08:29 62.194.78.24 - 192.168.1.3 80 GET /scripts/..Á../winnt/system32/cmd.exe /c+dir 401 -
2002-09-05 13:08:29 62.194.78.24 - 192.168.1.3 80 GET /scripts/winnt/system32/cmd.exe /c+dir 401 -
2002-09-05 13:08:30 62.194.78.24 - 192.168.1.3 80 GET /winnt/system32/cmd.exe /c+dir 401 -
2002-09-05 13:08:30 62.194.78.24 - 192.168.1.3 80 GET /winnt/system32/cmd.exe /c+dir 401 -

Glem det... Der er ikke noget galt... Vær ikke bekymret... hvis du alligevel er det så anskaf dig en opdateret virusscanner hvilket ikke er nødvendig i denne situation... det er dog altid godt med den nyeste opdatering

Det er jo sikkert log filen fra IIS, ikke?

Der er nogen/noget som prøver at cracke din webserver, ved at bruge nogle sikkerhedshuller.... du skal sørge for at holde din server opdateret. OG hvis det er en IIS server, så installere IISLockDown fra Microsoft.

naebet>>> Ingen grund til panik... vi får de medelelser i vores log-filer, i spandevis hver eneste dag! De betyder ikke noget specielt, bare ignorer dem!


Vores servere er ihvertfald ikke død af det endnu =)

Så vidt jeg kan se er det en virus, der søger efter en IIS eller en mailserver den kan sprede sig med. Jeg kan ikke lige huske hvad den virus hedder, men hvis du ingen web server og mailserver har i drift. behøver du ikke at være bange, den kan ikke inficere dig

Virusscaneren er opdateret

Og det er rigtigt at det er IIS loggen

Jeg ser lige om jeg kan downloade IISlockdown

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/tools/locktool.asp

Dit antivirus program bør først reagere, når/hvis der er en af disse orme, som kommer igennem et hul og får uploadet sig selv til din server.

Vil det sige at virusen ikke er kommet igennem til serveren eller ligger den og venter på at blive aktiveret??

Kig på hvad der står :
"GET /scripts/winnt/system32/cmd.exe /c+dir 401 -"
Se især efter tallet 401, som du nok kender fra diverse søgninger på nettet(403/404-fejl).
Hvis der ikke stod et tal efter Get etc. så havde du grund til bekymring.
Tallet angiver at der er forsøgt et angreb, men at den ikke kunne finde/havde adgang til filen som den skal bruge for at iværksætte angrebet.

Og ja - det er NIMDA der spøger endnu.

Som prodic er inde på - så er det ikke lykkedes denne orm at komme ind i dit system. De står og banker på døren, men IIS kan ikke udføre de kommandoer som bliver "smidt imod den", så derfor sker der ikke mere.

Det som den orm prøver på er at lavet et "dir" af c:, for at se om din IIS er ordentlig opdateret.