Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

IIS 6.0 Securitylogs. Wie kann ich diese Logs deuten ? Sind es Angriffsversuche ?

Frage Internet Server

Mitglied: 17169

17169 (Level 1)

30.09.2006, aktualisiert 01.10.2006, 6461 Aufrufe, 3 Kommentare

Hallo zusammen,

die Fehlerüberwachunglogs unseres Webservers bringen in letzter Zeit viele Meldung. Können Sie mir sagen, was sich hinter diesen Meldungen verbirgt !? Ich befürchte, dass man versucht unseren Webserver anzugreifen. Hinter der in der Meldung genannten IP-Adresse verbirgt sich laut ripe.net nämlich ein Konkurenzunternehmen.

Meldung1:
Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername:
Domäne: P15190942
Anmeldetyp: 8
Anmeldevorgang: Advapi
Authentifizierungspaket: Negotiate
Name der Arbeitsstation: -hier steht der eigene Name des Webservers drin-
Aufruferbenutzername: NETZWERKDIENST
Aufruferdomäne: NT-AUTORITÄT
Aufruferanmeldekennung: (0x0,0x3E4)
Aufruferprozesskennung: 1764
Übertragene Dienste: -
Quellnetzwerkadresse:

Quellport: 1393


Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie
Meldung2:
Anmeldversuch von: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Anmeldekonto: scr
Arbeitsstation: -hier steht der eigene Name des Webservers drin-
Fehlercode: 0xC0000064


Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

Das verwunderliche ist nämlich auch, dass vor dem (externen) Webserver eine FW steht die nur unsere öffentliche IP-Adresse hier zum konfigurieren (3389 rdp, 22 ssh) zulässt. Port 80 und 443 ist natürlich für "any" freigegeben. Warum kann sich diese IP trotzdem versuchen anzumelden ?

Gruß,
Nico
Mitglied: DaSam
30.09.2006 um 14:19 Uhr
Hi,

schau doch mal in den Serverlogs des IIS nach, welche IP-Adresse den Request für welche URI geschickt hat.

Eventuell wollte er einen Bereich auf dem IIS ansprechen, der Passwortgeschützt ist.

cu,
Alex
Bitte warten ..
Mitglied: 17169
01.10.2006 um 12:00 Uhr
Danke erstmal für den Tipp. Ich habe leider nur folgende Zeilen gefunden die mir etwas komisch vorkommen. Sie kommen ebenfalls von besagter Konkurenz-IP:

[code]
2006-09-27 10:01:07 W3SVCxxx UnsereIP GET /_vti_bin/owssvr.dll UL=1&ACT=4&BUILD=6551&STRMVER=4&CAPREQ=0 80 - DerenIP Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+.NET+CLR+2.0.50727) 200 0 3


2006-09-27 10:01:07 W3SVCxxx UnsereIP GET /MSOffice/cltreq.asp UL=1&ACT=4&BUILD=6551&STRMVER=4&CAPREQ=0 80 - DerenIP Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+.NET+CLR+2.0.50727) 404 0 2
[/code]

Auf einer von Google gefunden Seite wurde berichtet, dass es sich dabei um einen alten Wurm handelt der versucht herauszufinden ob es sich um einen IIS handelt. Kann das jmd bestätigen ?

http://forum.de.selfhtml.org/archiv/2005/5/t108290/
Bitte warten ..
Mitglied: DaSam
01.10.2006 um 18:42 Uhr
Hi,

das mit dem Wurm kann ich nicht kommentieren - allerdings handelt es sich bei der owssvr.dll und eine bekannte Schwachstelle des Sharepoint Servers, die unbedingt gepatcht gehört. Habt ihr die neuesten Updates drauf?

Schau doch mal nach, ob die Quell-IP immer auf den gleichen Host/Netzbereich zeigt?
Bitte warten ..
Ähnliche Inhalte
Windows Server
Migration IIS v8 (WS 2012) zu IIS v10 (WS 2016)

Frage von BillTorvalds zum Thema Windows Server ...

Windows Tools
gelöst IIS 7 - Http Fehler 404 - StaticFile (4)

Frage von Jannis92 zum Thema Windows Tools ...

Windows Server
Übertragungsgeschwindigkeit FileZilla und IIS-Server 8.5 mit FTP (2)

Frage von OlliPWS zum Thema Windows Server ...

Neue Wissensbeiträge
Heiß diskutierte Inhalte
Viren und Trojaner
Ransomware .nm4 (14)

Frage von Zyklo92 zum Thema Viren und Trojaner ...

Microsoft Office
+1.000 Ordner in Outlook: Wie besser? (11)

Frage von Matsushita zum Thema Microsoft Office ...

Zusammenarbeit
Administrator Verhalten nach Vertragskündigung (10)

Frage von sysbone zum Thema Zusammenarbeit ...