Log IIS

[pepito]

Bonjour,<br>Je voudrais comprendre les messages présents dans mon fichier log IIs : en gros, qqun n'essayerait-il pas de lancer des applications à distance sur mon serveur ?<br><br>09:35:37 64.152.75.20 GET /robots.txt 404<br>09:35:39 64.152.75.20 GET /index.html 200<br>13:53:53 200.52.141.9 GET /scripts/root.exe 404<br>13:53:56 200.52.141.9 GET /MSADC/root.exe 404<br>13:54:02 200.52.141.9 GET /c/winnt/system32/cmd.exe 404<br>13:54:04 200.52.141.9 GET /d/winnt/system32/cmd.exe 404<br>13:54:05 200.52.141.9 GET /scripts/..%5c../winnt/system32/cmd.exe 404<br>13:54:08 200.52.141.9 GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe 500<br>13:54:08 200.52.141.9 GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe 404<br>13:54:10 200.52.141.9 GET /msadc/..%5c../..%5c../..%5c/..Á../..Á../..Á../winnt/system32/cmd.exe 404<br>13:54:11 200.52.141.9 GET /scripts/..Á../winnt/system32/cmd.exe 404<br>13:54:13 200.52.141.9 GET /scripts/winnt/system32/cmd.exe 404<br>13:54:14 200.52.141.9 GET /winnt/system32/cmd.exe 404<br>13:54:16 200.52.141.9 GET /winnt/system32/cmd.exe 404<br>13:54:17 200.52.141.9 GET /scripts/..%5c../winnt/system32/cmd.exe 404<br>13:54:19 200.52.141.9 GET /scripts/..%5c../winnt/system32/cmd.exe 404<br>13:54:21 200.52.141.9 GET /scripts/..%5c../winnt/system32/cmd.exe 404<br>13:54:22 200.52.141.9 GET /scripts/..%2f../winnt/system32/cmd.exe 404<br><br>MERCI !!!

[kazer]

oui

[memorys]

Ca ressemble à du Nimda et/ou du Code Red... :-/<br><br>En tout cas, il s'agit d'un script automatique puisque les laps de temps entre les demandes est trop court pour faire tout çà au clavier (encore que, mais çà m'étonnerait).<br><br>Donc, derrière le p'tit bonhomme 200.52.141.9 se cache :<br><br>[ Informations about 200.52.141.9 ]<br><br>IP range       :    200.52.128.0 - 200.52.143.255<br>Network name   :    PROTEL-RED-1<br>AS number      :    AS2711<br>Infos          :    Operadora Protel S.a. DE C.v.<br>Infos          :    Monte Elbruz 132 4o Piso<br>Infos          :    Mexico, D.f. 11000<br>Country        :    MX<br>Abuse contact  :    apineda@protel.net.mx<br>Source         :    ARIN<br><br>(source -> cyberabuse whois)<br><br>....voilà...<br><br>Le truc à faire : bien vérifier que iislockdown et urlscan sont bien installés, ce qui est suffisant pour ce genre de scripts débiles...

[pepito]

Merci de cette réponse !!!<br>J'ai bien mis IIslockdown sur mon serveur, mais URLscan, c'est quoi ? Un patch fourni par microsoft ou un programme à part ?<br> ;D

[kazer]

Es tu a jour en sp, hotfix?

[memorys]

URLScan est un outil qui te permet de vérifier la validité d'une URL AVANT que IIS la prenne en charge. Et ceci suivant des rêgles précises (exemple : rejeter toute url contenant .exe à la fin, reformater les URL contenant des codages unicodes)<br><br>Bref, un outil indispensable qui se place en amont du traitement par IIS  ;D<br><br>A installer d'urgence...<br>Sans oublié bien sûr (comme le fait remarquer kazer), les différents hotfixes et Security Rollup  :P<br><br>ouf...