---

Hvordan tolker jeg dette indhold i min log:
- at flere har prøvet at eksekvere cmd.exe og med hvad formål ?




<SNIP>
#Software: Microsoft Internet Information Services 5.1
#Version: 1.0
#Date: 2005-04-09 01:14:43
#Fields: time c-ip cs-method cs-uri-stem sc-status
01:14:43 65.167.57.110 get /winnt/system32/cmd.exe 501
02:27:50 66.99.52.219 get /winnt/system32/cmd.exe 501
02:27:50 66.99.52.219 get /winnt/system32/cmd.exe 501
07:15:13 81.135.204.91 get /winnt/system32/cmd.exe 501
08:44:50 205.237.52.27 get /winnt/system32/cmd.exe 501
<SNIP>

---

Finn wrote:
> Hvordan tolker jeg dette indhold i min log:
> - at flere har prøvet at eksekvere cmd.exe og med hvad formål ?

At se om din server er sat forkert op / ikke er opdateret. Hvis man kan
få fat i cmd.exe kan man helt sikkert også lavet andet på et sådan system.

En søgning siger også at Nimda angriber upatchet IIS servere på den måde.

--
Anders Lund - anders@andersonline.dk
Take back the web - www.mozilla.org/firefox
I have plenty of Gmail invites - just ask!

---

Finn wrote:
> Hvordan tolker jeg dette indhold i min log:
> - at flere har prøvet at eksekvere cmd.exe og med hvad formål ?

Nej, umiddelbart har de prøvet at hente /winnt/system32/cmd.exe.

Alt efter hvordan webserveren er sat op kan ovenstående betyde at
cmd.exe bliver afvikler, evt. med en række argumenter, du ikke kan se,
da logningen er sat op til standarden....Du kan evt. slå mere logning
til for at se specifikt hvad de forsøger på.

Jeg gætter formålet på sigt er at opnå uautoriseret adgang til din
webserver.

> <SNIP>
> #Software: Microsoft Internet Information Services 5.1
> #Version: 1.0
> #Date: 2005-04-09 01:14:43
> #Fields: time c-ip cs-method cs-uri-stem sc-status
> 01:14:43 65.167.57.110 get /winnt/system32/cmd.exe 501

sc-status kan slå op i http://www.w3.org/Protocols/HTTP/HTRESP.html

501 betyder "ikke implementeret", i dit tilfælde har webserveren afvist dem.



--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

Tak til jer begge.