GET /winnt/system32/cmd.exe /c+dir+c:\

[thyphoon]

2002-06-24 09:20:03 80.129.110.186 - W3SVC26 PROVIDER mioserver 80 GET /winnt/system32/cmd.exe /c+dir+c:\ 404 3 4324 123 47 HTTP/1.1 mioserver - - -
2002-06-24 09:20:06 80.129.110.186 - W3SVC26 PROVIDER mioserver 80 GET /scripts/.%2e/.%2e/winnt/system32/cmd.exe /c+dir+c:\ 404 3 4324 126 0 HTTP/1.1 mioserver - - -

Nel file di log di un sito che ospito trovo spesso queste 2 righe... devo preoccuparmi??? Sono quasi sicuro che non siano riusciti a fare nulla, ma come posso avere la certezza?! Interrogando il database del ripe l'ip 80.129.110.186 risulta essere della Deutch Telecom. Cosa mi consigliate di fare?

[netbomb]

prova a vedere l'event viewer se ti dice qualcosa in più.
Leggendomi la guida di cmd praticamente hanno cercato di fare un dir nella tua root(il comando esatto è "cmd /C dir c:\"), è molto pericoloso poichè se sono riusciti a lanciarlo erroneamente, possono anche distruggeti la macchina, un format su una cartella qualsiasi, sballarti le impostazioni di IIS, cambiarti i permessi sulle cartelle...non voglio metterti paura, voglio farti rendere conto della situazione.
Per prima cosa devi fare un scan delle porte, e vedere quale è la più vulnerabile, poi stoppare tutti i servizi di cui non hai bisogno, modificare le impostazioni all'utente IIS.
Per adesso mi viene in mente questo.
Ciao

[thyphoon]

Il sistema sembra non aver subito modifiche o altro

[spadini]

Si è trattato di qualcuno che ha povato a verificare se il tuo IIS aveva il bug (molto noto) del cmd. Dal log sembra essere fallito, che service pack hai? Fai spesso l'aggiornamento online?

[thyphoon]

credo anche io, ma se fosse andato a buon fine, che cosa avrei trovato nel log???

[xdesign]

Invece del codice 404 avresti trovato il codice 200. Il tuo server è patchato contro quell'attacco, comunque è sempre bene controllare i nuovi fix