Spulciando i log....

[sndk4ASP]

Spulciando i log del mio web server ho trovato questa roba:

2003-09-08 08:46:54 10.10.1.1 DOMUS\Administrator 10.10.1.1 80 POST /centroservizi/preventivo4.asp - 200 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.0;+.NET+CL R+1.0.3705;+.NET+CLR+1.1.4322)
2003-09-08 08:50:11 10.10.1.1 DOMUS\Administrator 10.10.1.1 80 POST /centroservizi/preventivo4.asp - 200 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.0;+.NET+CL R+1.0.3705;+.NET+CLR+1.1.4322)
2003-09-08 08:56:02 80.17.191.166 - 10.10.1.1 80 GET /.hash=bfd2d5fc116b7293ecd51dd364eced1276d71240 - 404 -
2003-09-08 08:58:42 80.17.191.166 - 10.10.1.1 80 GET /.hash=a801b25749de5e981102795fb96338d0126ae05f - 404 -
2003-09-08 09:00:26 80.17.191.166 - 10.10.1.1 80 GET /.hash=bfd2d5fc116b7293ecd51dd364eced1276d71240 - 404 -
2003-09-08 09:00:28 80.17.191.166 - 10.10.1.1 80 GET /.hash=923742dd9652560251100423861e0c63b3958ef4 - 404 -
2003-09-08 09:25:51 10.10.1.1 DOMUS\Administrator 10.10.1.1 80 POST /centroservizi/preventivo4.asp - 200 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.0;+.NET+CL R+1.0.3705;+.NET+CLR+1.1.4322)

Che cosa sono quella serie di comando GET /.hash= ecc. ecc..??

:master:

[Habanero]

Le uniche cose che sono riuscito a trovare a riguardo è un possibile HTTP tunnel sulla porta 80 da parte di un client KAZAA. Questo al fine di evitare la chiusura delle porte standard.
Facendo una ricerca su google si trovano sempre gli stessi post rigurdanti sempre lo stesso argomento...
Se la cosa ti ha vagamente illuminato fammi sapere.

[sndk4ASP]

Uhm, può darsi che che kazaa centri visto che lo avevo installato su un'altra macchina della rete però l'ho usato altre volte senza che mi "sporcasse" così i log del web server. Piuttosto questa mattina mi è venuto in mente che forse prorio quel giorno avevo provato un tool di sicurezza in versione trial (LC4 o qualcosa del genere) che dovrebbe trovare le password di windows. Non ho ancora avuto tempo di riprovare ma fose è stato lui. Ti faccio sapere.

Tnx!

[Habanero]

L'unica è cercare di ricreare le condizioni sospette e vedere se l'esito è positivo. Fammi sapere.

[tia86]

Originariamente inviato da sndk4ASP
Piuttosto questa mattina mi è venuto in mente che forse prorio quel giorno avevo provato un tool di sicurezza in versione trial (LC4 o qualcosa del genere) che dovrebbe trovare le password di windows. Non ho ancora avuto tempo di riprovare ma fose è stato lui. Ti faccio sapere.

Tnx!

no, nn può essere stato LC4, al massimo i log li trovavi nell'event viewer ma nn hanno niente a ke fare con un Web Server.

nn è ke hai scritto male le pagine ASP e invii i dati con POST senza specificare la pagina?
quell'hash mi sembra tanto MD5

[sndk4ASP]

Originariamente inviato da tia86

nn è ke hai scritto male le pagine ASP e invii i dati con POST senza specificare la pagina?
quell'hash mi sembra tanto MD5

direi proprio di no. Il server è on-line ma è per mio uso personale, di test e di sviluppo e si appoggia ad un dns dinamico. Gli eventi loggati avvengono non in relazione a pagine asp che ho fatto ma sono solo casi isolati e provenienti da indirizzi ip differenti (e che non conosco). Inizialmente avevo pensato agli attacchi di worm tipo nimda e affini ma su google, come diceva habanero, ho trovato solo riferimenti al traffico causato da kazaa sulla porta 80 per aggirare i firewall. Il punto è che sarà almeno una settimana che non uso tale programma su nessun pc della mia rete (che se non sono in casa sono spenti eccetto il server)!
Mah!

[tia86]

Originariamente inviato da sndk4ASP
direi proprio di no. Il server è on-line ma è per mio uso personale, di test e di sviluppo e si appoggia ad un dns dinamico. Gli eventi loggati avvengono non in relazione a pagine asp che ho fatto ma sono solo casi isolati e provenienti da indirizzi ip differenti (e che non conosco). Inizialmente avevo pensato agli attacchi di worm tipo nimda e affini ma su google, come diceva habanero, ho trovato solo riferimenti al traffico causato da kazaa sulla porta 80 per aggirare i firewall. Il punto è che sarà almeno una settimana che non uso tale programma su nessun pc della mia rete (che se non sono in casa sono spenti eccetto il server)!
Mah!

tu nn hai qualke pagina ke abbia come url /centroservizi/preventivo4.asp ?

forse l'ip differente è causato dal fatto ke siccome testi sul server (intendo fisicamente) le pagine i log riportano il tuo ip pubblico invece di quello del server privato
worm? naaa
eppoi se è un web server nn puoi mica tunnellizzare! lo puoi fare solo con un proxy

[sndk4ASP]

Originariamente inviato da sndk4ASP

2003-09-08 08:50:11 10.10.1.1 DOMUS\Administrator 10.10.1.1 80 POST /centroservizi/preventivo4.asp - 200 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.0;+.NET+CL R+1.0.3705;+.NET+CLR+1.1.4322)
2003-09-08 08:56:02 80.17.191.166 - 10.10.1.1 80 GET /.hash=bfd2d5fc116b7293ecd51dd364eced1276d71240 - 404 -

preventivi4.asp c'è ma non può essere la causa di quel log. Primo perchè non lo ha mai fatto, secondo perchè l'ind IP della prima riga è diverso da quello della seconda (nel primo stavo testando una mia pag in locale).

Terzo quell'ind IP pubblico non era il mio ind pubblico.
Per es oggi:
2003-09-12 11:49:53 217.187.67.70 - 10.10.1.1 80 GET /.hash=2d1057ce5066ec686a8e8c53334b20f20a142d78 - 404 -
Provenienza, secondo visualroute, Stuttgart germania.....
Ribadisco: mah!

[tia86]

Originariamente inviato da sndk4ASP
preventivi4.asp c'è ma non può essere la causa di quel log. Primo perchè non lo ha mai fatto, secondo perchè l'ind IP della prima riga è diverso da quello della seconda (nel primo stavo testando una mia pag in locale).

Terzo quell'ind IP pubblico non era il mio ind pubblico.
Per es oggi:
2003-09-12 11:49:53 217.187.67.70 - 10.10.1.1 80 GET /.hash=2d1057ce5066ec686a8e8c53334b20f20a142d78 - 404 -
Provenienza, secondo visualroute, Stuttgart germania.....
Ribadisco: mah!

boh, sarà qualke programma ke vorra trasmettere qualkosa ma sbaglia IP.
capita, anke con emule, mai installato ma kissa come mai ogni ora ci sono cira un centinaio di tentativi di connessione.
mah

[Habanero]

quello indicato nel tuo primo post invece è un IP appartenente ad un blocco interbusinness assegnato all'amministrazione provinciale di napoli....