Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

IIS 6.0 Securitylogs. Wie kann ich diese Logs deuten ? Sind es Angriffsversuche ?

Frage Internet Server

Mitglied: 17169

17169 (Level 1)

30.09.2006, aktualisiert 01.10.2006, 6445 Aufrufe, 3 Kommentare

Hallo zusammen,

die Fehlerüberwachunglogs unseres Webservers bringen in letzter Zeit viele Meldung. Können Sie mir sagen, was sich hinter diesen Meldungen verbirgt !? Ich befürchte, dass man versucht unseren Webserver anzugreifen. Hinter der in der Meldung genannten IP-Adresse verbirgt sich laut ripe.net nämlich ein Konkurenzunternehmen.

Meldung1:
Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername:
Domäne: P15190942
Anmeldetyp: 8
Anmeldevorgang: Advapi
Authentifizierungspaket: Negotiate
Name der Arbeitsstation: -hier steht der eigene Name des Webservers drin-
Aufruferbenutzername: NETZWERKDIENST
Aufruferdomäne: NT-AUTORITÄT
Aufruferanmeldekennung: (0x0,0x3E4)
Aufruferprozesskennung: 1764
Übertragene Dienste: -
Quellnetzwerkadresse:

Quellport: 1393


Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie
Meldung2:
Anmeldversuch von: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Anmeldekonto: scr
Arbeitsstation: -hier steht der eigene Name des Webservers drin-
Fehlercode: 0xC0000064


Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

Das verwunderliche ist nämlich auch, dass vor dem (externen) Webserver eine FW steht die nur unsere öffentliche IP-Adresse hier zum konfigurieren (3389 rdp, 22 ssh) zulässt. Port 80 und 443 ist natürlich für "any" freigegeben. Warum kann sich diese IP trotzdem versuchen anzumelden ?

Gruß,
Nico
Mitglied: DaSam
30.09.2006 um 14:19 Uhr
Hi,

schau doch mal in den Serverlogs des IIS nach, welche IP-Adresse den Request für welche URI geschickt hat.

Eventuell wollte er einen Bereich auf dem IIS ansprechen, der Passwortgeschützt ist.

cu,
Alex
Bitte warten ..
Mitglied: 17169
01.10.2006 um 12:00 Uhr
Danke erstmal für den Tipp. Ich habe leider nur folgende Zeilen gefunden die mir etwas komisch vorkommen. Sie kommen ebenfalls von besagter Konkurenz-IP:

[code]
2006-09-27 10:01:07 W3SVCxxx UnsereIP GET /_vti_bin/owssvr.dll UL=1&ACT=4&BUILD=6551&STRMVER=4&CAPREQ=0 80 - DerenIP Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+.NET+CLR+2.0.50727) 200 0 3


2006-09-27 10:01:07 W3SVCxxx UnsereIP GET /MSOffice/cltreq.asp UL=1&ACT=4&BUILD=6551&STRMVER=4&CAPREQ=0 80 - DerenIP Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+.NET+CLR+2.0.50727) 404 0 2
[/code]

Auf einer von Google gefunden Seite wurde berichtet, dass es sich dabei um einen alten Wurm handelt der versucht herauszufinden ob es sich um einen IIS handelt. Kann das jmd bestätigen ?

http://forum.de.selfhtml.org/archiv/2005/5/t108290/
Bitte warten ..
Mitglied: DaSam
01.10.2006 um 18:42 Uhr
Hi,

das mit dem Wurm kann ich nicht kommentieren - allerdings handelt es sich bei der owssvr.dll und eine bekannte Schwachstelle des Sharepoint Servers, die unbedingt gepatcht gehört. Habt ihr die neuesten Updates drauf?

Schau doch mal nach, ob die Quell-IP immer auf den gleichen Host/Netzbereich zeigt?
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Netzwerk
IIS - anderes Netz zulassen (3)

Frage von survial555 zum Thema Windows Netzwerk ...

Windows Netzwerk
Konfiguration Linux VM in IIS-Manager (10)

Frage von HansWerner1 zum Thema Windows Netzwerk ...

Windows Server
Server 2008R2 IIS Zertifikatsproblem

Frage von Alchemy zum Thema Windows Server ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...

Windows Tools
gelöst Aussendienst Datensynchronisierung (12)

Frage von lighningcrow zum Thema Windows Tools ...

Windows Server
Suche passender Treiber (12)

Frage von stolli zum Thema Windows Server ...