IIS 5.1 log bizzard
IIS 5.1 log bizzard - Logiciels - Windows & Software
Marsh Posté le 04-06-2003 à 22:51:35
| bagu a écrit : j'ai mis un site web de base sur mon xp et j'ai ca dans les logs....
|
bah kelkun scan pr voir si ya une faille
Marsh Posté le 04-06-2003 à 22:54:30
Cela ressemble étrangement aux requêtes faites par Nimda...
Marsh Posté le 04-06-2003 à 23:29:42
exact ! le premier (avec root.exe) c le resultat d'un scanner qui cherche des traces laissé par nimda
l'autre url c une recherche de faille unicode
sous xp, tu peux etre tranquille mais regarde du côté de webdav , etc...
par contre je te conseille vivement d'utiliser un autre httpd
des nelle failles apparaissent tous les jours sur iis
Marsh Posté le 04-06-2003 à 23:42:38
| DjobiDjoba a écrit : exact ! le premier (avec root.exe) c le resultat d'un scanner qui cherche des traces laissé par nimda |
oué mais bon tu patche bien si ta viré l'uni+weddav t trankil pr la plupart du tps
Marsh Posté le 04-06-2003 à 23:52:06
| EpoK a écrit : |
hmm ca empeche pas les nouvelles failles de sortir ca ...
l'ideal pour iis c de le faire tourner sur un port != 80
Marsh Posté le 05-06-2003 à 00:12:06
Reply
Marsh Posté le 05-06-2003 à 00:30:21
je l'ai installé mais ou le configurer ? car je ne voit que sa dll de chargée ... 
Marsh Posté le 05-06-2003 à 00:35:26
Y'a un lien sur la page en question
[url]http://support.microsoft.com/default.aspx?scid=kb;[LN];307608[/url]
Message édité par Cruchot le 05-06-2003 à 00:35:42
Marsh Posté le 05-06-2003 à 00:47:37
alors la je pige pas...j'ai viré le .exe des deny et l'ai mis a la suite des allows et pourtant, les exe sont toujours deny ???
alors, que j'ai redémarré le serveur
Marsh Posté le 05-06-2003 à 01:10:25
oué...ben je vais pas l'installer finalement...
car apres un reboot, pu de connection du tout...
désinstall, rereboot, de nouveau ma connection remarche...
Marsh Posté le 05-06-2003 à 01:30:07
T'as du oublier un truc, enfin c'est pas tres grave a la rigueur. Seulement tu auras tes logs remplis par ces trucs.
Vaut mieux patcher IIS avant 
les logs on verra apres
Marsh Posté le 05-06-2003 à 01:46:31
ben je lui ai passé tout les patch que j'ai pu trouver sur windowsupdate
Marsh Posté le 05-06-2003 à 08:35:54
Tiens il y a quelque temps j'avais fais ça :
http://www.foufouille.com/System/S [...] %20IIS.htm
Marsh Posté le 19-06-2003 à 09:47:43
Bon...ca tourne depuis quelques temps sans soucis...
Ca donne ca :
#Date: 2003-06-18 08:35:38 |
Mais comment mettre fin a totes ces tentatives d'intrusions...je commence a en avoir marre 
QQn a une idée de l'endroit ou je peux dénoncer ca ?
Merci
Marsh Posté le 19-06-2003 à 09:55:52
Dénoncer ? Collabo va !
C'est un vers (worm) qui tente de se répendre automatiquement... tu peux essayer d'envoyer un "net send" à l'IP en question, vu que la machine est insuffisament protégée.
Sinon tien ne t'empêche d'utiliser la même faille que nimda / codered pour écire un petit fichier texte à la racine de son disque en redirigeant l'entrée standard 
Marsh Posté le 19-06-2003 à 09:57:20
Un ptit Whois : http://www.nic.fr/cgi-bin/whois
et un ptit mail à abuse@fai.fr
Marsh Posté le 19-06-2003 à 09:57:47
| Requin a écrit : Dénoncer ? Collabo va ! |
![[:plusun]](https://forum-images.hardware.fr/images/perso/plusun.gif "[:plusun]")
Marsh Posté le 19-06-2003 à 09:57:56
http://ripe.net/perl/whois?form_ty [...] rch=Search
puis mail a abuse@
sachant que
1)la machine est peut etre comprise & donc c'est pas _volontaire_
2)tu pars du principe que abuse va effectivement agir
3)que tu n'as rien de bien suprenant dans tes logs & que si cela te gene tant tu n'as qu'a filtré de tels choses dans tes logs .
Marsh Posté le 19-06-2003 à 10:05:47
| bagu a écrit : |
Envoyer des mails aux Abuse@FAI.com c'est bien mais bon faut pas attendre de miracle non plus, et puis comme le dis Mikala ca peut être involontaire à cause d'un autre serveur non patché.
De plus ca fait un an que j'ai un serveur IIS chez moi et des logs comme ca j'en ai des kilomètres, rien qu'en "attaque" de ce genre il doit y en avoir 10Mo sur les 10 derniers mois... 
Marsh Posté le 19-06-2003 à 10:14:32
| Mikala a écrit : http://ripe.net/perl/whois?form_ty [...] rch=Search |
je n'ai pas dit que je pensais que ct fait expres...je veux juste que cela cesse...C tout...donc je me demandais ou m'adresser...je crois que net send ne marchera pas forcément tt le temps...car si la machine tourne sou 9x ou sur un noyan nt avec le service de messagerie de désactivé, cela n'aboutira pas
Marsh Posté le 19-06-2003 à 10:17:10
| bagu a écrit : Mais comment mettre fin a totes ces tentatives d'intrusions...je commence a en avoir marre |
relis le topic !
suffit de faire tourner ton iis sur un port diférents de 80 c tout !
Marsh Posté le 19-06-2003 à 10:26:46
| bagu a écrit : |
je n'ai _jamais_ dis que tu avais dis que c'était volontaire hein 
j'ai juste donné une raison qui ferait que tu aurais par exemple une ip qui reviendrai souvent dans tes logs , tout comme il te faut compter sur la réactivité du service abuse qui peut etre +- inexistant en fonction des FAI,du type de preuve que tu apportes ( & honnetement 3 logs de nimba dans un log de http ..... )
root@emmanuelle:/usr/local/apache2/logs$ grep default.ida access_log | wc -l |
ce sont les logs du 18,19 ... & je peux pas dire que j'ai énormement de traffic sur mon web a deux balles donc ...
faut arreter de t'en faire pour ces logs )
juste penser a un petit rotate de temps en temps & on en parle plus .
Marsh Posté le 19-06-2003 à 10:31:05
| DjobiDjoba a écrit : |
Ca ne genera pas si qqn est derriere un routeur/firewall qui n'autorise que le port 80 ?
Marsh Posté le 19-06-2003 à 15:36:20
bahh si 
t'as plus qu'as desactiver le logging de iis
Message édité par djobidjoba le 19-06-2003 à 15:38:12
Sujets relatifs:
- [IIS 5.0] Plus de 250 jours de log envolés.... sous Win 2000 Server
- Problème IIS
- IIS : Connexion a mon reseau local
- Probleme d'authentification sous IIS et acces serveur web
- serveur web IIS
- IIS et WinXP home...
- PB avec IIS et DNS
- Norton et IIS (ASP FileScriptingSystem) => Mauvais ménage
- PHP: a t'il un avenir sur les plateformes Win32 et sur IIS ?
- Serveur PME => IIS et le PHP ?
Marsh Posté le 04-06-2003 à 22:19:33
j'ai mis un site web de base sur mon xp et j'ai ca dans les logs....
savez-vous ce que cela représente...
j'ai mis :adresse ip masquée
a la place de mon ip et de celle de la personne qui se connecte
2003-06-04 08:11:44 adresse ip masquée - HEAD /scripts/root.exe /c+dir+c:\ 404 3 144 67 0 adresse ip masquée - - -
2003-06-04 08:11:44 adresse ip masquée - HEAD /msadc/..ü????¯../..ü????¯../..ü????¯../winnt/system32/cmd.exe /c+dir+c:\ 404 3 144 148 0 adresse ip masquée - - -
2003-06-04 09:11:06 adresse ip masquée - GET /default.ida XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a 404 2 4364 3818 360 - - - -