problema sicurezza iis e sql server

[Radmond_Barry]

salve a tutti

dato che ho un database sql condiviso on line, mi sto preoccupando di vedere se qualcuno "non desiderato" entrasse nella mia intranet. a questo proposito mi sono messo a controllare il log dell'iis.

spesso vedo delle richieste del genere:

#Software: Microsoft Internet Information Server 4.0
#Version: 1.0
#Date: 2002-03-17 00:49:45
#Fields: time c-ip cs-method cs-uri-stem sc-status
00:49:44 80.200.131.218 GET /scripts/root.exe 401
00:49:44 80.200.131.218 GET /MSADC/root.exe 401
00:49:46 80.200.131.218 GET /c/winnt/system32/cmd.exe 404
00:49:46 80.200.131.218 GET /d/winnt/system32/cmd.exe 404
00:49:46 80.200.131.218 GET /scripts/..%5c../winnt/system32/cmd.exe 401
00:49:47 80.200.131.218 GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe 500
00:49:47 80.200.131.218 GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe 404
00:49:47 80.200.131.218 GET /msadc/..%5c../..%5c../..%5c/..Á../..Á../..Á../winnt/system32/cmd.exe 401
00:49:47 80.200.131.218 GET /scripts/..Á../winnt/system32/cmd.exe 401
00:49:48 80.200.131.218 GET /scripts/winnt/system32/cmd.exe 401
00:49:48 80.200.131.218 GET /winnt/system32/cmd.exe 404
00:49:52 80.200.131.218 GET /winnt/system32/cmd.exe 404
00:49:52 80.200.131.218 GET /scripts/..%5c../winnt/system32/cmd.exe 401
00:49:52 80.200.131.218 GET /scripts/..%5c../winnt/system32/cmd.exe 401
00:49:53 80.200.131.218 GET /scripts/..%5c../winnt/system32/cmd.exe 401
00:49:53 80.200.131.218 GET /scripts/..%2f../winnt/system32/cmd.exe 401
04:59:08 80.11.22.152 GET /scripts/root.exe 401
04:59:08 80.11.22.152 GET /MSADC/root.exe 401
05:00:43 80.11.22.152 GET /d/winnt/system32/cmd.exe 404
05:00:43 80.11.22.152 GET /scripts/..%5c../winnt/system32/cmd.exe 401
05:00:49 80.11.22.152 GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe 500
05:00:52 80.11.22.152 GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe 404
05:00:52 80.11.22.152 GET /msadc/..%5c../..%5c../..%5c/..Á../..Á../..Á../winnt/system32/cmd.exe 401
05:00:54 80.11.22.152 GET /scripts/..Á../winnt/system32/cmd.exe 401
05:00:54 80.11.22.152 GET /scripts/winnt/system32/cmd.exe 401
08:53:51 209.198.193.98 GET /default.ida 200
08:56:09 80.142.185.162 GET /scripts/root.exe 401
08:56:15 80.142.185.162 GET /MSADC/root.exe 401
08:56:21 80.142.185.162 GET /c/winnt/system32/cmd.exe 404
08:56:27 80.142.185.162 GET /d/winnt/system32/cmd.exe 404
08:56:31 80.142.185.162 GET /scripts/..%5c../winnt/system32/cmd.exe 401
08:56:36 80.142.185.162 GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe 500
08:56:42 80.142.185.162 GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe 404
08:56:48 80.142.185.162 GET /msadc/..%5c../..%5c../..%5c/..Á../..Á../..Á../winnt/system32/cmd.exe 401
08:56:54 80.142.185.162 GET /scripts/..Á../winnt/system32/cmd.exe 401
08:57:00 80.142.185.162 GET /scripts/winnt/system32/cmd.exe 401
08:57:06 80.142.185.162 GET /winnt/system32/cmd.exe 404
08:57:11 80.142.185.162 GET /winnt/system32/cmd.exe 404
08:57:17 80.142.185.162 GET /scripts/..%5c../winnt/system32/cmd.exe 401
08:57:26 80.142.185.162 GET /scripts/..%5c../winnt/system32/cmd.exe 401
08:57:31 80.142.185.162 GET /scripts/..%5c../winnt/system32/cmd.exe 401
08:57:36 80.142.185.162 GET /scripts/..%2f../winnt/system32/cmd.exe 401
18:29:28 209.190.1.218 GET /default.ida 200

qualcuno mi sa dire che cosa sono?

inoltre esiste un log del sql server in cui posso vedere a che ora si connettono i vari utenti e che cosa fanno?

grazie a tutti

[Michi C]

Sono exploit.
Assicurati di aver installato tutte le patch per iis che ci sono, e service pack compresi...

bye

[Radmond_Barry]

grazie michi
provvedo

ho letto adesso tutta la recente discussione in cui un utente ha postato un problema analogo al mio quindi mi scuso per essere stato ripetitivo.

però rinnovo la mia domanda sul log del sql server.

grazie

[ecc]

mm sembrano vari exploit generati da un security scanner in effetti ce un altro 3D sull argomento in questo forum.
Meglio installare tutte le patch anche per SQL server che essendo un server come IIS e sogetto a bichi (em come tuti i prodotti m$:gren: )
Puoi trovare tutti gli aggiornamenti sul sito della Microsoft e ti consiglio anche di abbonarti al servizio gratuito di Microsoft il Security Bulletin che ti tiene aggiornato nella casella Mail di eventuali bug dei loro prodotti.
Luca

[Radmond_Barry]

sono andato sul sito della microsoft per scaricare i security patch.... ma sono un'infinità. esiste una patch che li racchiude tutti oppure mi tocca istallarli uno per uno? (non è che non abbia voglia, solo che ogni volta che istallo qualcosa sul server ho paura che qualcos'altro non mi funzioni)

grazie

[ecc]

non so se ci sono delle raccolte di patch cmq il dilemma degli aggiornamenti e sempre quello seguendo le istruzioni riportate on line nn si dovrebbero riscontrare difficoltà ma la cosa a volte funziona e a volte pur avendo seguito scrupolosamente tutto nn va. Questi sono problemi risaputi di SW casa M$
Luca

[Michi C]

Beh, ogni tanto escono i service pack che includono tutte queste patch... però ti conviene scaricare costantemente ogni patch di aggiornamento...

bye

[Radmond_Barry]

grazie ragazzi per i vostri preziosi consigli

ci si sente!

[xdesign]

Mi sembra che SQL Server non includa un log viewer...o forse ne esiste uno da riga di comando, non ricordo.

Comunque puoi controllare gli accessi tramite gli strumenti di Windows.

Esegui questo comando

%windir%\System32\gpedit.msc

vai in Impostazioni di Windows > Impostazioni Protezione > Criteri locali > Criterio controllo

Da quel pannello puoi selezionare il controllo per gli eventi riusciti/non riusciti, e questo vale anche per gli accessi a SQL Server.

Usando il Visualizzatore di eventi (Pannello di controllo > Strumenti di amministrazione) dovresti poter vedere gli eventi di accesso (tipo 4) di SQL, e la descrizione sarà simile a questa:

18453 :
Accesso riuscito per l'utente 'ADMIN\Administrator'. Connessione: trusted.

Attenzione però ai controlli selezionati nel gpedit: se vengono controllate tutte le azioni degli utenti, il pc potrebbe rallentare e il registro degli eventi aumenterebbe notevolmente le proprie dimensioni.

Per quanto riguarda il log che riporti qui sopra, è un semplice scan di sicurezza.
Come ti hanno già consigliato, installa al più presto le patch disponibili per il tuo sistema, con un occhio di riguardo alle patch di IIS per il worm Code Red. Il tuo sistema è quasi sicuramente vulnerabile:

08:53:51 209.198.193.98 GET /default.ida 200

Il codice 200 descrive gli accessi riusciti, e il documento default.ida è sfruttato da vari exploit.