217.215.38.128 GET /scripts/root.exe 404
05:54:27 217.215.38.128 GET /MSADC/root.exe 404
05:54:27 217.215.38.128 GET /c/winnt/system32/cmd.exe 404
05:54:27 217.215.38.128 GET /d/winnt/system32/cmd.exe 404
05:54:28 217.215.38.128 GET /scripts/..%5c../winnt/system32/cmd.exe 404
05:54:28 217.215.38.128 GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe 404
05:54:28 217.215.38.128 GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe 404
05:54:28 217.215.38.128 GET /msadc/..%5c../..%5c../..%5c/..Á../..Á../..Á../winnt/system32/cmd.exe 404
05:54:29 217.215.38.128 GET /scripts/..Á../winnt/system32/cmd.exe 404
05:54:29 217.215.38.128 GET /scripts/winnt/system32/cmd.exe 404
05:54:29 217.215.38.128 GET /winnt/system32/cmd.exe 404
05:54:29 217.215.38.128 GET /winnt/system32/cmd.exe 404
05:54:30 217.215.38.128 GET /scripts/..%5c../winnt/system32/cmd.exe 404
05:54:30 217.215.38.128 GET /scripts/..%5c../winnt/system32/cmd.exe 404
05:54:30 217.215.38.128 GET /scripts/..%5c../winnt/system32/cmd.exe 404
05:54:30 217.215.38.128 GET /scripts/..%2f../winnt/system32/cmd.exe 404
06:11:35 217.215.38.128 GET /scripts/root.exe 404
06:11:35 217.215.38.128 GET /MSADC/root.exe 404
06:11:35 217.215.38.128 GET /c/winnt/system32/cmd.exe 404
06:11:35 217.215.38.128 GET /d/winnt/system32/cmd.exe 404
06:11:36 217.215.38.128 GET /scripts/..%5c../winnt/system32/cmd.exe 404
06:11:36 217.215.38.128 GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe 404
06:11:36 217.215.38.128 GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe 404
06:11:36 217.215.38.128 GET /msadc/..%5c../..%5c../..%5c/..Á../..Á../..Á../winnt/system32/cmd.exe 404
06:11:38 217.215.38.128 GET /scripts/..Á../winnt/system32/cmd.exe 404
06:11:38 217.215.38.128 GET /scripts/winnt/system32/cmd.exe 404
06:11:38 217.215.38.128 GET /winnt/system32/cmd.exe 404
06:11:38 217.215.38.128 GET /winnt/system32/cmd.exe 404
06:11:38 217.215.38.128 GET /scripts/..%5c../winnt/system32/cmd.exe 404
06:11:39 217.215.38.128 GET /scripts/..%5c../winnt/system32/cmd.exe 404
06:11:39 217.215.38.128 GET /scripts/..%5c../winnt/system32/cmd.exe 404
06:11:39 217.215.38.128 GET /scripts/..%2f../winnt/system32/cmd.exe 404
06:34:26 217.215.162.14 GET /scripts/root.exe 404
06:34:28 217.215.162.14 GET /MSADC/root.exe 404
06:34:30 217.215.162.14 GET /c/winnt/system32/cmd.exe 404
06:34:31 217.215.162.14 GET /d/winnt/system32/cmd.exe 404
06:34:33 217.215.162.14 GET /scripts/..%5c../winnt/system32/cmd.exe 404
06:34:35 217.215.162.14 GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe 404
06:34:37 217.215.162.14 GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe 404
06:34:39 217.215.162.14 GET /msadc/..%5c../..%5c../..%5c/..Á../..Á../..Á../winnt/system32/cmd.exe 404
06:34:40 217.215.162.14 GET /scripts/..Á../winnt/system32/cmd.exe 404
06:34:40 217.215.162.14 GET /scripts/winnt/system32/cmd.exe 404
06:34:40 217.215.162.14 GET /winnt/system32/cmd.exe 404

Jag känner inte igen ipnummret men vad är det som händer?
Mvh hasse

Skulle också gärna få lite mer information om detta, håller som bäst på och kollar säkerheten på min lilla leksaks-webbserver. :-)

Det finns en del information på nätet om detta, t ex om hur man förbättrar säkerheten i IIS. Kolla t ex följande länk (From Blueprint to Fortress: A Guide to Securing IIS 5.0):

http://www.microsoft.com/technet/treeview/default.asp?url=/TechNet/prodtechnol/iis/deploy/depovg/securiis.asp

Det du visar i ditt mejl är ett utdrag ur loggarna för IIS, på ditt exempel så har du haft besök från två separata datorer, deras IP-nummer är 217.215.38.128 och 217.215.162.14. Klockslag och detta IP-nummer räcker för att spåra vem det var, om man vill lämna in en anmälan till en 'abuse'-registrerare som t ex kan stänga deras Internet-anslutning.

Vad jag sett så är klockslaget baserat -2 timmar från vår egen? (Vet ej om detta stämmer, borde ju va -1 timma om den skall va baserad på 0-meridianen (eller vad-den-nu-heter *ler*)?!?

Sedan står det lite information om vad de försökte köra... som du ser så anropas inte de vanliga html- eller asp-sidorna utan de försöker köra diverse kommandon direkt på din dator, min GISSNING är att detta inte är en riktad hacker-attack utan automatiska attacker från t ex Nimda-viruset eller liknande, nej, jag kan inte så mycket om det här tyvärr... *ler*

Någon mer som vill klara upp detta!?
// Qez

Det var för ca 6 månader sedan fick jag ett
mejl från bonet numera bostream att någon från min ip
scannat försökt komma in på någon annas ipnummer (alltså en varning)
Om det nu inte ar jag som hade gkort det (vilket det inte var)
Så beronde det antagligen på min iss sa dom. Tydligen skulle den inte vara säker. När vi då kollade loggarn så fanns där massor av sådan
ipnummer från hela världen så jag avinstallerde iis då win2000
Nu mer kör jag win xp pro har tagit hem alla säkerhetuppdateringar från
microsoft men ändå börjar loggarna se konstiga ut?? Kanske man inte skall köra iss
om då också läser denna artikel kan man ju undra


http://www.aftonbladet.se/vss/it/story/0,2789,92183,00.html

Mvh Hasse

Det är sant att IIS är populär när det gäller attacker, och visst, den har en hel del säkerhetshål etc, det finns en hel del anvisningar på nätet om hur man skall göra den säkrare (förutom att givetvis skydda sin dator överhuvudtaget med en brandvägg)...

Kolla t ex:

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/tools/locktool.asp

Denna wizard/verktyg underlättar att sätta upp IIS:en i en säkrare miljö, det finns massvis med andra tips som att inte lägga IIS:en på samma hårddisk som operativsystemet, att ändra inställningarna på olika mappar och användare för att öka säkerheten där med etc, sedan måste man hela tiden vara uppmärksam på nya uppdateringar på operativsystemet, iis:en, brandväggen och egna virusskydd...

Det är ett hårt liv! :-)

Vad gäller att din dator sedan användes som plattform för vidare attacker mot andra datorer så behöver det inte ha varit en hacker utan "bara" ett elakt program som gått vidare... det är förvånande hur ENKELT det är att ta sig in i en annans dator, testade en kompis säkerhet (med hans vetskap) och visade att jag lätt kunde komma åt hans hela dator inkl C-hårddisken, detta UTAN att använda några hacking-verktyg... han skyndade sig att installera en brandvägg efter detta... *ler* (och jag KAN ändå inte mycket om hacking...)

mvh Qez

Jag tror det är dags för en ordentlig förklaring kring ämnet, det verkar finnas för mycket missförstånd och sådant kan vara farligt! :-)

Först måste jag få säga att det är mycket bra att du tittar i dina loggar. Det är något man bör göra varje dag. men för vanliga användare är detta oftast inte realistiskt, men att titta igenom dom en gång i veckan eller liknande bör man definitivt göra!

Om man har en rad som ser ut som:

C:\Inetpub\Scripts\Root.exe
eller
C:\Progra~1\Common~1\System\MSADC\Root.exe

Så är det <b>någon annans IIS</b> som är infekterad av Code Red II, och som i sin tur försöker infektera dig. Så länge du har patchat din maskin (aka kört Windowsupdate) så är det ingen fara. Det kan du också se genom att kolla på http-koden, som står sist på varje rad. I ditt fall är det 404, vilket är den klassiska http 404 - file not found. Det betyder att Code Red II inte har kunnat infektera din maskin. Står där istället 200, vilket betyder http 200 Ok så är det betydligt värre!

Kort sagt, vad som står i loggarna är vad som har hänt när andra maskiner har pratat med din! Bara för att Code Red II <b>försöker</b> infektera dig så betyder det inte att du <b>blir</b> infekterad!

Vad som står i loggarna har alltså <b>ingeting</b> att göra med vad <b>din</b> maskin har gjort på nätet!

Läs mer om Code Red II
<URL:http://securityresponse.symantec.com/avcenter/venc/data/codered.ii.html>

Jag måste även få tillägga lite andra saker i ämnet!

* Windows 2000 är <b>inte</b> ett osäkert system som man kan ta sig in i!
* IIS <b>inte</b> ett osäkert system som man kan ta sig in i!

* En <b>icke uppdaterad</b> Windows 2000 är ett osäkert system som man kan ta sig in i!
* En <b>icke uppdaterad</b> IIS är ett osäkert system som man kan ta sig in i!

* En <b>felkonfigurerad</b> Windows 2000 är ett osäkert system som man kan ta sig in i!
* En <b>felkonfigurerad</b> IIS är ett osäkert system som man kan ta sig in i!

* En brandvägg <b>behövs inte</b> för att man ska skydda sig för intrång på Windows 2000 eller IIS! Det är en skröna från de som inte kan installera/konfigurera sina system rätt. En brandvägg ger <b>ofta en övertro</b> på ens systems säkerhet.

Jag kan bara säg som tillägg
Jag hade INTE uppdaterat win 2000 när jag körde detta
det var nog det som var felet när jag körde iis sisst
men naturligtvis blev jag rädd och avinstallerade det hela
Stängde allt jag kunde Hårdvarubrandväggen + zonealarn pro
Inte roligt att bli avstängd från bonet

Nu är frestelsen stor igen nu provade jag xppro:s iis + update
installerade iis under senare delen av veckan men fick då
dom här loggfilerna (kollar loggen varje dag) avinstallerde det i kväll
stängde allt igen. Vet inte vad man ska göra man är ju ingen expert på
på iss när det gäller säkra inställningar. Kanske bättre med apache
för en amatör men då fungerar väll inte asp. Fick även rådet av
en Datafirma i min hemstad att inte köra iss ftp utan i stället köra
g6.

Mvh Hasse

> <b>Jag hade INTE uppdaterat win 2000 när jag körde detta det var nog det som var felet när jag körde iis sisst</b>

Troligt!

Windowsupdate varje dag, alternativt den automatiska Windowsupdate-uppdateringsmjukvaran, är vad som gäller!

> <b>Inte roligt att bli avstängd från bonet</b>

Nä, fy för tusan, det ska man akta sig för. Fast om man har en smittad maskin som hittar på bus så tycker jag att Bostream gör rätt som stänger av ens till man fixat problemet!

> <b>installerade iis under senare delen av veckan men fick då dom här loggfilerna</b>

Det är vanligt att man får sådant i sina loggar. Jag får det hela tiden. men eftersom att det står 404 file not found, så är det inga problem, som jag beskrev ovan!

> <b>(kollar loggen varje dag)</b>

Mycket bra!

> <b>avinstallerde det i kväll stängde allt igen.</b>

Vilket du nu vet var helt onödigt!

> <b>Vet inte vad man ska göra man är ju ingen expert på på iss när det gäller säkra inställningar.</b>

Då har man 2 val:

1) Läsa på och lära sig.
2) Strunta i att köra en webserver alls.

> <b>Kanske bättre med apache för en amatör</b>

Fad som är bra/dåligt och enkelt/svårt är ju väldigt personligt. Själv tycker jag att IIS är enklare än Apache, men det beror till stor del på att jag kan mer om IIS.

> <b>Fick även rådet aven Datafirma i min hemstad att inte köra iss ftp utan i stället köra g6.</b>

Råd kan vem som helst slänga ur sig! Be dom motivera rådet. Och inte bara med "Den är säkrare", utan isåfall <b>varför</b> de anser att den är säkrare. Kan de inte det så är de inga människor du behöver lyssna på!

>Windowsupdate varje dag, alternativt den automatiska Windowsupdate-uppdateringsmjukvaran, är vad som gäller!

Windows auto gillar jag inte man skall själv avgöra vad man vill ha hem tycker jag, tar hem alla säkerhetsgrejer.

> Inte roligt att bli avstängd från bonet

>Nä, fy för tusan, det ska man akta sig för. Fast om man har en smittad maskin som hittar på bus så tycker jag att Bostream gör rätt som stänger av ens till man fixat problemet!

Naturligvis scannade jag alla diskar mot nimda enligt bostream
anvisnngar fanns inget hos mig. Nu scannar jag varje natt, med nav 2002

> installerade iis under senare delen av veckan men fick då dom här loggfilerna

>Det är vanligt att man får sådant i sina loggar. Jag får det hela tiden. men eftersom att det står 404 file not found, så är det inga problem, som jag beskrev ovan!

Okej skall installera det igen men skall till bokhandeln först och läsa på

> (kollar loggen varje dag)

Mycket bra!

> avinstallerde det i kväll stängde allt igen.

>Vilket du nu vet var helt onödigt!

> Vet inte vad man ska göra man är ju ingen expert på på iss när det gäller säkra inställningar.

>Då har man 2 val:

>1) Läsa på och lära sig.
>2) Strunta i att köra en webserver alls.

Okej skall installera det igen men skall till bokhandeln först och läsa på
rekomenderad bok?




> Kanske bättre med apache för en amatör

Fad som är bra/dåligt och enkelt/svårt är ju väldigt personligt. Själv tycker jag att IIS är enklare än Apache, men det beror till stor del på att jag kan mer om IIS.

> Fick även rådet aven Datafirma i min hemstad att inte köra iss ftp utan i stället köra g6.

>Råd kan vem som helst slänga ur sig! Be dom motivera rådet. Och inte bara med "Den är säkrare", utan isåfall varför de anser att den är säkrare. Kan de inte det så är de inga människor du behöver lyssna på!

Ja har kört g6 i ca 1 år, det bara fungerar visst innehåller loggfilerna ip som inte hör dit men dom skapar inga problem (troligen folk som scannar porar)
samt så tycker jag det är väldigt användarvänligt lätt att installera
dela ut mappar lägga till användare rättigheter. Du har väldigt mycket
du kan ställa in i progget tankhastigheter upp som ner ja det finns allt i det enligt mig.
även provat andra ftpserver progarm men inget som har så mycket som g6
Mvh Hasse
min mejl om ni skulle vilja mejla om synpunkter
h.grass@telia.com

ps tack för erat vissade intresse för denna fråga
Måndag blir det bokhandeln

Har kört de senaste uppdateringarna på operativsystemet och min IIS etc, sedan körde jag MS Lockdown som ändrade en massa inställningar. Raderade även alla onödiga mappar med exempel och scripts som följer med IIS:en när man installerar den...

Brandväggen rullar på som tidigare...

Vågar jag hoppas på att min IIS är "säker" nu? *ler*

Hur vet jag om den hann bli infekterad av t ex Nimda-viruset, när jag kontrollerar mina loggar nu så har jag inte lika mkt "besök" som tidigare, men i de gamla loggarna innan uppdateringarna så fanns där samma text som Hasse visade i sina loggar MEN med den fatala koden "200" sist, dvs de lyckades exekvera och komma åt cmd.exe etc etc... *hick*

Om viruset redan slagit till så hjälper det inte att jag NU har låst diverse filer och uppdaterat eller?! Ligger min IIS och skickar iväg kopior och försöker attackera andra webbservrar 'as we speek'?!? Måste jag formatera om burken eller räcker det att köra nå't test-program eller anti-virus-program (rekomendationer)?!

Har någon som är bra på det här lust att svara på följande frågor:
* Hur skall man göra vid en nyinstallation, dvs i vilken ordning tycker ni att man skall installera sin burk med IIS, uppdateringar, lockdown etc för att 'hinna' skydda sin maskin INNAN den blir smittad?! Det där Nimda-viruset slår ju till inom nå'n minut har jag hört nå'nstans...
* VAD betyder de olika siffrorna i W3C-loggarna?! Främst då 'sc-status' och 'sc-win32-status', sökte på nätet men fann inga listor på detta?!

// Qez - försöker bli säkerhets-medveten... :-)

Vad jag kan förstå är du redan smittad, för att slippa det vid en ominstallation ska du installera allt, inklusive alla patchar innan du kopplar upp datorn mot internet.

/Johan

Jo, det var det jag trodde...

Problemet är att jag ju installerar patchar VIA nätet *ler* och att jag väl måste installera IIS först för att MS Windows Update skall 'se' att jag behöver patchar för just IIS?! :-)

Känns som 'hönan och ägget' här... fast i detta fall är väl svaret att viruset alltid kommer först!? :-)

Har hört 'rykten' om att det EFTER MS Lockdown 'bara' är att starta om maskinen så skall Nimda-viruset inte kunna fungera längre då alla viktiga filer är låsta och nya användarkonton etc skapade... vet ej om det stämmer..

Får forska vidare 'där ute' på Nätet :-)

Tack i alla fall!
/ Qez

LOCKDOWN verktyget ställer till det mer för din IIS, vilket du ju märkte. Finns mer info om detta på www.iisfaq.com.

När det gäller borttagning av virus och scanning så har www.f-secure.se mycket bra verktyg för detta.

ZoneAlarm är en "brandvägg" som kan ställa till en del på ens IIS. Finns även mer info på www.iisfaq.com om detta.

Håller med RickardD i allt han skriver om. Mycket förnuftig människa. ;) hähä

Läs på innan ni exprimentar, IIS är ingen leksak!