Utility
Home Messaggi odierni FAQ Ricerca avanzata Lo staff del forum Regolamento Utenti Archivio
Visualizzazione dei risultati da 1 a 7 su 7
  1. 09-12-2003, 17:45 #1
    Killer99
    Killer99 non è in linea
    Utente di HTML.it
    Registrato dal
    Jan 2002
    Messaggi
    427
    Invia un messaggio tramite ICQ a Killer99

    Hackeraggio?!?! IIS log HELP

    salve
    mi sono ritrovato nel mio sito diversi FILE che non sono stati messi su da me...
    anche perkè i file sono index.html e dicono che ho il sito BUCATO.

    tramite FTP non c sono saliti, i log di ftp sono puliti...
    la pass di admin non è poi così semplice da sgamare...

    nei log di IIS ho queste entri:

    2003-12-08 17:37:59 200.158.9.70 - 62.223.250.232 80 PUT /www.arplhmd.cjb.net_153543 - 201 Microsoft+Data+Access+Internet+Publishing+Provider +DAV+1.1
    2003-12-08 17:37:59 200.158.9.70 - 62.223.250.232 80 POST /_vti_bin/_vti_aut/author.dll - 405 MSFrontPage/4.0
    2003-12-08 17:37:59 200.158.9.70 - 62.223.250.232 80 POST /_vti_bin/_vti_aut/author.dll - 405 MSFrontPage/4.0
    2003-12-08 17:37:59 200.158.9.70 - 62.223.250.232 80 POST /_vti_bin/_vti_aut/author.dll - 405 MSFrontPage/4.0
    .
    .
    .

    2003-12-08 17:38:56 200.158.9.70 - 62.223.250.232 80 PROPFIND /pdw - 404 Microsoft-WebDAV-MiniRedir/5.1.2600
    2003-12-08 17:38:56 200.158.9.70 - 62.223.250.232 80 OPTIONS / - 200 Microsoft-WebDAV-MiniRedir/5.1.2600
    2003-12-08 17:38:56 200.158.9.70 - 62.223.250.232 80 PROPFIND /pdw - 404 Microsoft-WebDAV-MiniRedir/5.1.2600
    2003-12-08 17:38:58 200.158.9.70 - 62.223.250.232 80 PROPFIND /pdw - 404 Microsoft-WebDAV-MiniRedir/5.1.2600
    2003-12-08 17:38:58 200.158.9.70 - 62.223.250.232 80 OPTIONS / - 200 Microsoft+Data+Access+Internet+Publishing+Provider +Protocol+Discovery
    2003-12-08 17:38:58 200.158.9.70 - 62.223.250.232 80 OPTIONS /pdw - 200 Microsoft+Data+Access+Internet+Publishing+Provider +Protocol+Discovery
    2003-12-08 17:39:00 200.158.9.70 - 62.223.250.232 80 OPTIONS / - 200 Microsoft+Data+Access+Internet+Publishing+Provider +Protocol+Discovery
    2003-12-08 17:39:00 200.158.9.70 - 62.223.250.232 80 PROPFIND /pdw - 404 Microsoft+Data+Access+Internet+Publishing+Provider +DAV
    2003-12-08 17:39:00 200.158.9.70 - 62.223.250.232 80 OPTIONS /pdw - 200 Microsoft+Data+Access+Internet+Publishing+Provider +Protocol+Discovery
    2003-12-08 17:39:01 200.158.9.70 - 62.223.250.232 80 PROPFIND / - 207 Microsoft+Data+Access+Internet+Publishing+Provider +DAV
    2003-12-08 17:39:01 200.158.9.70 - 62.223.250.232 80 OPTIONS / - 200 Microsoft+Data+Access+Internet+Publishing+Provider +Protocol+Discovery
    2003-12-08 17:39:04 200.158.9.70 - 62.223.250.232 80 PROPFIND /pdw - 404 Microsoft-WebDAV-MiniRedir/5.1.2600
    2003-12-08 17:39:04 200.158.9.70 - 62.223.250.232 80 PROPFIND /pdw - 404 Microsoft-WebDAV-MiniRedir/5.1.2600
    2003-12-08 17:39:06 200.158.9.70 - 62.223.250.232 80 PROPFIND /pdw - 404 Microsoft-WebDAV-MiniRedir/5.1.2600

    qualcuno di voi può aiutarmi a comprendere tnkx
    Ah, Jedis! I had no ideas! What can i do for you, honored Jedis?

    I'm not Jedi. I'm a guy with a lighsaber and a few questions.
    Rispondi quotando Rispondi quotando
  2. 09-12-2003, 18:02 #2
    seclimar
    seclimar non è in linea
    Utente di HTML.it L'avatar di seclimar
    Registrato dal
    Sep 2002
    Messaggi
    21,042
    Invia un messaggio tramite ICQ a seclimar
    2003-12-08 17:39:06 200.158.9.70 - 62.223.250.232 80 PROPFIND /pdw - 404 Microsoft-WebDAV-MiniRedir/5.1.2600

    questi potrebbero essere terminal server!
    hai terminal server .. ??????

    3 domande importantissime:
    hai installato TUTTE le patch suggerite da windows update???

    hai messo al pc delle password SERIE ???

    hai cancellato dalla inetpub o wwwroot le cartelle per gli script (se non le usi) ????
    Rispondi quotando Rispondi quotando
  3. 09-12-2003, 18:27 #3
    Killer99
    Killer99 non è in linea
    Utente di HTML.it
    Registrato dal
    Jan 2002
    Messaggi
    427
    Invia un messaggio tramite ICQ a Killer99
    windows update non lo reputo uno strumento serio...
    la maggior parte delle volte sono cose completamente inutili...
    cmq in linea di massimo sono poche le patch che mi mancherebbero di quelle critiche se non nessuna.
    Password, credo ci che la password sia SERISSIMA
    maiuscole, minusco,e punti, virgole e numeri
    può andare bene?

    la inetpub e la wwroot non le ho cancellato, ma cmq i siti non stanno li.
    sono su un'altro disco e il web predefinito è disabilitato percui non dovrebbero essere raggiungibili...

    x quanto riguarda Terminal, non dovrebbe essere attivo...
    e cmq terminal services via web ?!?!
    Ah, Jedis! I had no ideas! What can i do for you, honored Jedis?

    I'm not Jedi. I'm a guy with a lighsaber and a few questions.
    Rispondi quotando Rispondi quotando
  4. 09-12-2003, 18:31 #4
    seclimar
    seclimar non è in linea
    Utente di HTML.it L'avatar di seclimar
    Registrato dal
    Sep 2002
    Messaggi
    21,042
    Invia un messaggio tramite ICQ a seclimar
    Originariamente inviato da Killer99
    windows update non lo reputo uno strumento serio...
    la maggior parte delle volte sono cose completamente inutili...
    cmq in linea di massimo sono poche le patch che mi mancherebbero di quelle critiche se non nessuna.
    Password, credo ci che la password sia SERISSIMA
    maiuscole, minusco,e punti, virgole e numeri
    può andare bene?

    la inetpub e la wwroot non le ho cancellato, ma cmq i siti non stanno li.
    sono su un'altro disco e il web predefinito è disabilitato percui non dovrebbero essere raggiungibili...

    x quanto riguarda Terminal, non dovrebbe essere attivo...
    e cmq terminal services via web ?!?!
    mi spiace... penso invece che se non hai fatto il windows update...
    avrai un sistema troppo insicuro...
    oppure ti metti a mano tutte le patch!!!

    non ti posso aiutare.. se non lo fai!!

    quando mi collego via terminal services... nei log .. mi appare una scritta.. ma non ti assicuro che sia la stessa che hai tu...
    devo controllare a casa!


    se non hai messo le patch..
    hai trovato la causa dell'hackeraggio!
    Rispondi quotando Rispondi quotando
  5. 09-12-2003, 18:37 #5
    Killer99
    Killer99 non è in linea
    Utente di HTML.it
    Registrato dal
    Jan 2002
    Messaggi
    427
    Invia un messaggio tramite ICQ a Killer99
    il discorso è quali patch??!?!

    le patch di office non mi servono, le patch di widnows media player non mi servono, di IE o Outlook non mi servono...


    se ti colleghi in TS lo vedo nell'event log e non nei log di IIS del sito...
    o erro?!?!
    non capisco cosa centri TS con il sito web...
    i log di IIS con gli Eventi....
    Ah, Jedis! I had no ideas! What can i do for you, honored Jedis?

    I'm not Jedi. I'm a guy with a lighsaber and a few questions.
    Rispondi quotando Rispondi quotando
  6. 09-12-2003, 20:40 #6
    seclimar
    seclimar non è in linea
    Utente di HTML.it L'avatar di seclimar
    Registrato dal
    Sep 2002
    Messaggi
    21,042
    Invia un messaggio tramite ICQ a seclimar
    Originariamente inviato da Killer99
    il discorso è quali patch??!?!

    le patch di office non mi servono, le patch di widnows media player non mi servono, di IE o Outlook non mi servono...


    se ti colleghi in TS lo vedo nell'event log e non nei log di IIS del sito...
    o erro?!?!
    non capisco cosa centri TS con il sito web...
    i log di IIS con gli Eventi....
    1)
    con windows update si scaricano anche le patch del sistema operativo..
    senza patch il sistema non e' sicuro!

    2)
    2003-12-09 18:30:51 192.168.0.2 OPTIONS / - 80 - 192.168.0.6 Microsoft-WebDAV-MiniRedir/5.1.2600 200 0 0
    2003-12-09 18:30:51 192.168.0.2 PROPFIND /sysvol - 80 - 192.168.0.6 Microsoft-WebDAV-MiniRedir/5.1.2600 501 0 0

    Queste che ti ho postato sono 2 linee che ho trovato nel mio log di IIS....
    non mi sono collegato al mio sito a quell'orario
    ma bensi ho acceso il mio pc e basta...
    l'ip sorgente 192.168.0.6 e' il mio pc!\
    Rispondi quotando Rispondi quotando
  7. 10-12-2003, 11:01 #7
    Killer99
    Killer99 non è in linea
    Utente di HTML.it
    Registrato dal
    Jan 2002
    Messaggi
    427
    Invia un messaggio tramite ICQ a Killer99
    si ma io mica l'ho acceso il pc...
    e su 1 settimana di log, li è l'unico punto in cui compaiono quelle "scritte" e non sono richiamate dal mio server.. inquanto ha ip 62.223.250.232 e quelle sono richiamate da 200.158.x.x
    che è quello che mi ha buttato dentro sti 4 file del cavolo...

    cmq ok quella parte che hai scritto tu può essere un qualcosa di IIS del tutto normale... quel option /
    ma se interpreto bene è un tentativo di cambio cartella/file
    ora PDW _vti_ ... ecc ecc non c sono nel mio sito...

    tnkx 4 all

    scusa le mie parole se sono state troppo dure, ma ero troppo sconvolto, e da "sistemista junior motlo junior" cercavo di capire...
    Tu mi parlavi di Terminal Services, ora di accensione Pc, ma non sono i miei casi...
    inquanto il serer non viene riavviato da 70GG e il suo ip è proprio il 62.223.250.232 non è nattato, è in server farm ed è quello il suo ip.
    Ah, Jedis! I had no ideas! What can i do for you, honored Jedis?

    I'm not Jedi. I'm a guy with a lighsaber and a few questions.
    Rispondi quotando Rispondi quotando
« Discussione precedente | Prossima discussione »

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  

Regole del Forum

Powered by vBulletin® Version 4.2.1
Copyright © 2026 vBulletin Solutions, Inc. All rights reserved.