wiederholte Webserver - Warnings im Logfile

#1 Hallo,

ich finde immer wieder folgende Zugriffsversuche auf meinen Webserver im Logfile.

[2002-09-25 16:20:34] WARN: HTTP [80.128.75.163]: Invalid URL name (.. not allowed): /scripts/..%5c../winnt/system32/cmd.exe
[2002-09-25 16:20:35] WARN: HTTP [80.128.75.163]: Invalid URL name (.. not allowed): /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
[2002-09-25 16:20:35] WARN: HTTP [80.128.75.163]: Invalid URL name (.. not allowed): /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
[2002-09-25 16:20:35] WARN: HTTP [80.128.75.163]: Invalid URL name (.. not allowed): /msadc/..%5c../..%5c../..%5c/..Á../..Á../..Á../winnt/system32/cmd.exe
[2002-09-25 16:20:35] WARN: HTTP [80.128.75.163]: Invalid URL name (.. not allowed): /scripts/..Á../winnt/system32/cmd.exe
[2002-09-25 16:20:36] WARN: HTTP [80.128.75.163]: Invalid URL name (.. not allowed): /scripts/..À/../winnt/system32/cmd.exe
[2002-09-25 16:20:36] WARN: HTTP [80.128.75.163]: Invalid URL name (.. not allowed): /scripts/..À¯../winnt/system32/cmd.exe
[2002-09-25 16:20:36] WARN: HTTP [80.128.75.163]: Invalid URL name (.. not allowed): /scripts/..Áœ../winnt/system32/cmd.exe
[2002-09-25 16:20:36] WARN: HTTP [80.128.75.163]: Invalid URL name (.. not allowed): /scripts/..S5c../winnt/system32/cmd.exe
[2002-09-25 16:20:37] WARN: HTTP [80.128.75.163]: Invalid URL name (.. not allowed): /scripts/..S5c../winnt/system32/cmd.exe
[2002-09-25 16:20:37] WARN: HTTP [80.128.75.163]: Invalid URL name (.. not allowed): /scripts/..%5c../winnt/system32/cmd.exe
[2002-09-25 16:20:37] WARN: HTTP [80.128.75.163]: Invalid URL name (.. not allowed): /scripts/..%2f../winnt/system32/cmd.exe

Wie es aussieht versucht jemand die Command-Shell zu starten. Da diese Warnings in mehr oder weniger regelmässigen Abständen auftauchen gehe ich davon aus, dass es sich um einen automatisierten Versuch handelt.

Gibt es irgendwelche Tips bzw. Sicherheitslücken, die ich dabei noch besonders beachten kann ?

Gruß & Danke im voraus
Klaus

#2 Hier gibts eine Security-Checkliste:
http://cert.uni-stuttgart.de/ms-iis5.php
Ich geh mal davon aus, daß Du evtl nötige, verfügbare Patches auch aufspielst.
Josch
__________
Durchsuchen --> Aussuchen --> Untersuchen

#3 Hallo Klaus,

schau mal hier

http://www.tiho-hannover.de/intern/infokom/nimda.pdf

Zitat

klaus postete
Hallo,

ich finde immer wieder folgende Zugriffsversuche auf meinen Webserver im Logfile.

[2002-09-25 16:20:34] WARN: HTTP [80.128.75.163]: Invalid URL name (.. not allowed): /scripts/..%5c../winnt/system32/cmd.exe
[2002-09-25 16:20:35] WARN: HTTP [80.128.75.163]: Invalid URL name (.. not allowed): /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
[2002-09-25 16:20:35] WARN: HTTP [80.128.75.163]: Invalid URL name (.. not allowed): /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
[2002-09-25 16:20:35] WARN: HTTP [80.128.75.163]: Invalid URL name (.. not allowed): /msadc/..%5c../..%5c../..%5c/..Á../..Á../..Á../winnt/system32/cmd.exe
[2002-09-25 16:20:35] WARN: HTTP [80.128.75.163]: Invalid URL name (.. not allowed): /scripts/..Á../winnt/system32/cmd.exe
[2002-09-25 16:20:36] WARN: HTTP [80.128.75.163]: Invalid URL name (.. not allowed): /scripts/..À/../winnt/system32/cmd.exe
[2002-09-25 16:20:36] WARN: HTTP [80.128.75.163]: Invalid URL name (.. not allowed): /scripts/..À¯../winnt/system32/cmd.exe
[2002-09-25 16:20:36] WARN: HTTP [80.128.75.163]: Invalid URL name (.. not allowed): /scripts/..Áœ../winnt/system32/cmd.exe
[2002-09-25 16:20:36] WARN: HTTP [80.128.75.163]: Invalid URL name (.. not allowed): /scripts/..S5c../winnt/system32/cmd.exe
[2002-09-25 16:20:37] WARN: HTTP [80.128.75.163]: Invalid URL name (.. not allowed): /scripts/..S5c../winnt/system32/cmd.exe
[2002-09-25 16:20:37] WARN: HTTP [80.128.75.163]: Invalid URL name (.. not allowed): /scripts/..%5c../winnt/system32/cmd.exe
[2002-09-25 16:20:37] WARN: HTTP [80.128.75.163]: Invalid URL name (.. not allowed): /scripts/..%2f../winnt/system32/cmd.exe

Wie es aussieht versucht jemand die Command-Shell zu starten. Da diese Warnings in mehr oder weniger regelmässigen Abständen auftauchen gehe ich davon aus, dass es sich um einen automatisierten Versuch handelt.

Gibt es irgendwelche Tips bzw. Sicherheitslücken, die ich dabei noch besonders beachten kann ?

Gruß & Danke im voraus
Klaus

#4 Wenn du keinen Windows-Server hast brauchst du dir keine Gedanken machen.

Desweiteren sieht das stark nach "UNICODE" aus, was verwendet wird um IIS-Server zu "hacken".

Bei einem Apache würde ich mir weniger Sorgen machen.

btw: Sperre seine IP doch einfach über die FW

mfg p2k
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de