win server scans

[buddha]

huhu hab mir mal meine log angesehen und wollt wissen obs ne möglichkeit gibt diese scans direkt zu blocken?

217.172.70.114 - - [27/Jan/2003:01:09:00 +0100] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 293
217.172.70.114 - - [27/Jan/2003:01:09:00 +0100] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 293
217.172.70.114 - - [27/Jan/2003:01:09:01 +0100] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 277
217.172.70.114 - - [27/Jan/2003:01:09:01 +0100] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 277
217.172.70.114 - - [27/Jan/2003:01:09:01 +0100] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 294

sind super viele dieser einträge :-/

[captaincrunch]

Mit einem Patch für IPTables kannst du solche Strings direkt ausfiltern, hab aber gerade keinen Link zur Hand. Die Frage ist nur, ob sich der Anfwand lohnt, von Scriptkiddies mit IIS-Exploits bomardiert zu werden ist doch normal, ich find's eher süß ...

[buddha]

kann man eigentlich mit diesen logs rechtliche schritte einleiten alla anzeige wegen blablub nur mal interesseweise

sieht ja ganz witzig aus nur geht damit nicht etwas die verbindungsrate runter? oder ist das quasi unrelevant?

außerdem werden die logs so groß :lol:

[[tom]]

kann man eigentlich mit diesen logs rechtliche schritte

Nö - zwingt Dich ja keiner zu loggen. Kannst ja Logging disablen. ;-)

[TOM]

[captaincrunch]

kann man eigentlich mit diesen logs rechtliche schritte einleiten alla anzeige wegen blablub nur mal interesseweise

IMHO nicht, besonders deshalb, weil das zeugs ja keinen unmittelbaren Schaden hinterlässt. Was du machen könntest, wäre, die Provider der jeweiligen IPs anzumailen (abuse@provider.de), und denen die Sachlage zu schildern. Im Normalfall passiert da aber nicht viel ...

sieht ja ganz witzig aus nur geht damit nicht etwas die verbindungsrate runter? oder ist das quasi unrelevant?

Wenn ein Scriptkid aus seiner (bestenfalls) DSL-Leitung solche Anfragen an deinen Server schickt, der durch eine ganz dicke Leitung ans Internet angeunden ist, wirst du bandbreitenmäßig herzlich wenig davon mitbekommen. Die Last auf dem Server wird auch kaum spürbar sein ...

[barto]

tja und oft kommen solche anfragen dann von mit CodeRed/Nimbda-infizierten IIS-Webservern, wo der betreffende Verantwortliche (vielleicht) gar keine Ahnung hat :)