Finn wrote:
> Hvordan tolker jeg dette indhold i min log:
> - at flere har prøvet at eksekvere cmd.exe og med hvad formål ?
Nej, umiddelbart har de prøvet at hente /winnt/system32/cmd.exe.
Alt efter hvordan webserveren er sat op kan ovenstående betyde at
cmd.exe bliver afvikler, evt. med en række argumenter, du ikke kan se,
da logningen er sat op til standarden....Du kan evt. slå mere logning
til for at se specifikt hvad de forsøger på.
Jeg gætter formålet på sigt er at opnå uautoriseret adgang til din
webserver.
> <SNIP>
> #Software: Microsoft Internet Information Services 5.1
> #Version: 1.0
> #Date: 2005-04-09 01:14:43
> #Fields: time c-ip cs-method cs-uri-stem sc-status
> 01:14:43 65.167.57.110 get /winnt/system32/cmd.exe 501
sc-status kan slå op i
http://www.w3.org/Protocols/HTTP/HTRESP.html
501 betyder "ikke implementeret", i dit tilfælde har webserveren afvist dem.
--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/