RootForum Community

Resources for System-Administrators
https://www.rootforum.org/forum/

win server scans

https://www.rootforum.org/forum/viewtopic.php?t=6928

Page 1 of 1

win server scans

Posted: 2003-01-28 14:27
by buddha
huhu hab mir mal meine log angesehen und wollt wissen obs ne möglichkeit gibt diese scans direkt zu blocken?
217.172.70.114 - - [27/Jan/2003:01:09:00 +0100] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 293
217.172.70.114 - - [27/Jan/2003:01:09:00 +0100] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 293
217.172.70.114 - - [27/Jan/2003:01:09:01 +0100] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 277
217.172.70.114 - - [27/Jan/2003:01:09:01 +0100] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 277
217.172.70.114 - - [27/Jan/2003:01:09:01 +0100] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 294

sind super viele dieser einträge :-/

Re: win server scans

Posted: 2003-01-28 14:32
by captaincrunch
Mit einem Patch für IPTables kannst du solche Strings direkt ausfiltern, hab aber gerade keinen Link zur Hand. Die Frage ist nur, ob sich der Anfwand lohnt, von Scriptkiddies mit IIS-Exploits bomardiert zu werden ist doch normal, ich find's eher süß ... :wink:

Re: win server scans

Posted: 2003-01-28 14:50
by buddha
kann man eigentlich mit diesen logs rechtliche schritte einleiten alla anzeige wegen blablub nur mal interesseweise

sieht ja ganz witzig aus nur geht damit nicht etwas die verbindungsrate runter? oder ist das quasi unrelevant?

außerdem werden die logs so groß :lol:

Re: win server scans

Posted: 2003-01-28 14:52
by [tom]
kann man eigentlich mit diesen logs rechtliche schritte
Nö - zwingt Dich ja keiner zu loggen. Kannst ja Logging disablen. ;-)

[TOM]

Re: win server scans

Posted: 2003-01-28 15:24
by captaincrunch
kann man eigentlich mit diesen logs rechtliche schritte einleiten alla anzeige wegen blablub nur mal interesseweise
IMHO nicht, besonders deshalb, weil das zeugs ja keinen unmittelbaren Schaden hinterlässt. Was du machen könntest, wäre, die Provider der jeweiligen IPs anzumailen (abuse@provider.de), und denen die Sachlage zu schildern. Im Normalfall passiert da aber nicht viel ...
sieht ja ganz witzig aus nur geht damit nicht etwas die verbindungsrate runter? oder ist das quasi unrelevant?
Wenn ein Scriptkid aus seiner (bestenfalls) DSL-Leitung solche Anfragen an deinen Server schickt, der durch eine ganz dicke Leitung ans Internet angeunden ist, wirst du bandbreitenmäßig herzlich wenig davon mitbekommen. Die Last auf dem Server wird auch kaum spürbar sein ...

Re: win server scans

Posted: 2003-01-28 19:50
by barto
tja und oft kommen solche anfragen dann von mit CodeRed/Nimbda-infizierten IIS-Webservern, wo der betreffende Verantwortliche (vielleicht) gar keine Ahnung hat :)
All times are UTC+02:00
Page 1 of 1