IIS Log 檔看不懂，好像有人要入侵的樣子，幫忙一下啦 [Site Map]

贊助商連結

gien

2002-05-06, 10:06 AM

#Software: Microsoft Internet Information Services 5.0
#Version: 1.0
#Date: 2002-05-02 00:05:33
#Fields: date time c-ip cs-username s-ip s-port cs-method cs-uri-stem cs-uri-query sc-status cs(User-Agent)

2002-05-02 00:05:33 138.206.161.195 - WebServerIP 80 GET / - 401 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+NT+4.0)

2002-05-02 00:20:41 61.77.111.18 - WebServerIP 80 GET /<Rejected-By-UrlScan> ~/scripts/root.exe 401 -

-以下全是這個 IP 的動作 61.77.111.18
/<Rejected-By-UrlScan> ~/MSADC/root.exe 401 -
/<Rejected-By-UrlScan> ~/c/winnt/system32/cmd.exe 401 -
/<Rejected-By-UrlScan> ~/d/winnt/system32/cmd.exe 401 -
/<Rejected-By-UrlScan> ~/scripts/..%255c../winnt/system32/cmd.exe 401 -
/<Rejected-By-UrlScan> ~/_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe 401 -
/<Rejected-By-UrlScan> ~/msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe 401 -
/<Rejected-By-UrlScan> ~/scripts/..%c1%1c../winnt/system32/cmd.exe 401 -
/<Rejected-By-UrlScan> ~/scripts/..%c0%2f../winnt/system32/cmd.exe 401 -
/<Rejected-By-UrlScan> ~/scripts/..%c0%af../winnt/system32/cmd.exe 401 -
/<Rejected-By-UrlScan> ~/scripts/..%c1%9c../winnt/system32/cmd.exe 401 -
/<Rejected-By-UrlScan> ~/scripts/..%%35%63../winnt/system32/cmd.exe 401 -
/<Rejected-By-UrlScan> ~/scripts/..%%35c../winnt/system32/cmd.exe 401 -
/<Rejected-By-UrlScan> ~/scripts/..%25%35%63../winnt/system32/cmd.exe 401 -
/<Rejected-By-UrlScan> ~/scripts/..%252f../winnt/system32/cmd.exe 401 -

是不是 61.77.111.18 嘗試著從我的執行 cmd.exe
該如何防範呢

贊助商連結

LEE366

2002-05-06, 10:14 AM

HTTP://自己的IP/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:\
照上面的格式在IE中輸入，看是否能看到自己的C根目錄，如果可以看的到，代表你有IIS上的漏洞，請自己去更新IIS。

gien

2002-05-06, 10:32 AM

最初由 LEE366 發表
HTTP://自己的IP/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:\
照上面的格式在IE中輸入，看是否能看到自己的C根目錄，如果可以看的到，代表你有IIS上的漏洞，請自己去更新IIS。

看不到說:D

上面是不是表示那個 IP 在亂搞

LEE366

2002-05-06, 10:36 AM

那就不要煩腦了，我家的記錄檔每次一打開來看也是一大堆這些記錄，反正要用2000自己就心理有個準備了，不知何時開機整個電腦的資料會不見。

gien

2002-05-06, 10:40 AM

最初由 LEE366 發表
那就不要煩腦了，我家的記錄檔每次一打開來看也是一大堆這些記錄，反正要用2000自己就心理有個準備了，不知何時開機整個電腦的資料會不見。

可是這是公司的電腦啦:(
家堛煽N算了
公司的可玩不起

LEE366

2002-05-06, 10:52 AM

那你更不用煩腦，你是公司的MIS嗎？如果不是你管電腦掛掉幹嗎？多一事不如少一事。
如果你是MIS，那你自己應該有方法吧！

gien

2002-05-06, 10:58 AM

最初由 LEE366 發表
那你更不用煩腦，你是公司的MIS嗎？如果不是你管電腦掛掉幹嗎？多一事不如少一事。
如果你是MIS，那你自己應該有方法吧！

ㄟ....
我是個正在努力學習的遜ㄎㄚ MIS .....
這方面不大懂，請多指教:)

LEE366

2002-05-06, 11:06 AM

嗯..............加油！
上網就跟脫光了衣服在街上走一樣，全世界無聊的人那麼多，是防不完的，只有一句話，多保重，請善用GHOST之類的東西，資料多備份，要重建會比較快。

tca0857

2002-05-07, 01:00 PM

這就是在與你相同C CLASS的主機中
有人IIS中了病毒而不自知
而這主機正在試圖感染你的主機
只要IIS更新過應該就沒事