Was bedeuten diese Meldungen |
||
---|---|---|
#0
| ||
27.03.2003, 12:32
Member
Beiträge: 40 |
||
|
||
27.03.2003, 13:57
Member
Beiträge: 907 |
#2
hast du einen IIS laufen? sicher nicht, deshalb sollte das für dich nicht gefählrich sein
es versucht jmd. (vllt. interpretiert es aber das IDS auch falsch) jmd. mittels exploits deinen vermeintlichen IIS (den es aber gar nicht gibt) zu kompromitieren mach dich einfach über google oder hier im forum über exploits/sicherheitslücken im IIS schlau und du weißt, was du blocken solltest, wenn dich die logs stören greez |
|
|
ich bin mir zwar nicht sicher, ob ich mein Problem hier an der richtigen Stelle poste, aber ich versuchs halt mal.
Also, seit rund zwei Wochen habe ich bei mir einen Web, Ftp, Mail-server laufen. Das ganze steht hinter einer IPCop-Firewall mit DMZ. Es funzt zwar alles wunderprächtig, doch habe ich jeden Tag das Logfile des Intrusion Detecting System voll mit den folgenden Meldungen:
Quell-IP an Firewall:
Name: (der Attacke)
- WEB-IIS unicode directory traversal attempt
- WEB-IIS cmd.exe access
- WEB-IIS CodeRed v2 root.exe access
- WEB-IIS ISAPI .ida attempt
Typ: (der Attacke)
-Web Application Attack
Die Attacken kommen immer von einem Port über 1024 auf den 80er.
In der Regel kommt eine ganze Reihe dieser Attacken immer von der gleichen IP. Ändert aber im laufe des Tages auch mal.
Von Zeit zu Zeit gibt die Firewall folgende Antwort aus:
- ATTACK RESPONSES 403 Forbidden
Die Antwort geht immer von Port 80 an einen über 1024.
Auch habe ich beobachtet, das Zeitgleich das Logfile des Webserver auch einen Fehler aufzeichnet.
Auch auffällig ist die Tatsache, dass die meisten Attacken von einer IP aus dem Range meines Provider kommen. Als Firewall Neuling weis ich jetzt einfach nicht genau, wie ich darauf reagieren soll. Sind die Attacken "gefährlich" oder kann ich sie ignorieren.
Danke für die Hilfe
Gruss Philipp