smoothwall logger

[PowerOfNow]

hei,

 

leser ut i fra loggene min at noen prøver å "fucke" opp WEB serveren min.. Har dem da blitt kicka siden det står oppført i loggen, eller hvordan fungerer dette?

 

Ser det blir forsøkt kjørt CMD kommandoen..men har kjørt en IIS lock fix på ISS 5 serveren min.

 

--

Knut

[Dj_Offset]

sensur

[PowerOfNow]

du burde skjønne såpass at smoothwallen kjøres som Firewall og NAT og at jeg kjører en annen server IIS.

 

Poenget er heller ikke hva jeg bruker som web-server, men hva loggene mener. Har dem blitt stoppet når det er logget, eller har noen kanskje vært på innsiden?

 

--

Knut

[Dj_Offset]

sensur

[PowerOfNow]

jeg skjønner hva som står i loggene, men jeg vet ikke hva som har hent når det har blitt skrevet logg. Har noen PRØVD å utføre det som står i loggen, eller har dem KLART å utføre det som står i loggen. Vet liksom ikke om det har blitt stoppet.

 

Dato: 05/19 22:42:18 Navn: WEB-IIS cmd.exe access

Prioritet: 8

Type: Attempted User Privilege Gain

IP info: 80.17.226.xxx:2035 -> 80.212.101.xxx:80

Referanser: ingen funnet

[KinderEgg]

Det betyr at de har PRØVD.

Siden du har (vil jeg tro) åpnet port 80 for alle, betyr det at du antageligs burde sjekke web-server loggen for skumle meldinger :smile:

Dersom du har filer som heter Admin.dll og httpdb.dll (eller noe lignende navn) i rota på partisjonene dine, betyr det at du har en maskin infisert av Nimda.

 

Uansett...den meldingen betyr at noen har PRØVD å komme inn, dersom du har åpnet for port 80 har den KLART å gå gjennom.

Installér de 10000 IIS patchene som finnes så skulle du være "sikker" (yeah right...).