Udo Springfeld: IIS angegriffen?

Werter Leser,

stellt ich doch bei der Durchsicht meiner Logdateien heute folgende Zeilen in kleinerer Menge fest:

2001-08-02 02:46:26 xxx.xxx.xxx.xxx - yyy.yyy.yyy.yyy 80 GET /default.ida NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a 200 - -

wobei xxx.xxx.xxx.xxx für die Quell- und yyy.yyy.yyy.yyy für die
Zieladresse steht.

Wie kann ich sicherstellen das ich hier von einem im Juni berichteten Sicherheitsproblem betroffen wurde, beziehungsweise jemandem der das versucht hat auszunutzen?

Gruss Udo

  1. Hi,

    habe seit gestern Nachmitag auch Probleme mit unserem Server. Bei beendet sich einfach der www-publishing Dienst.

    Es ist nichts im Log-File und im EventLog zu finden.

    Jedesmal wenn ich den Dienst dann wieder starte beendet sich dieser wieder nach ein paar Minuten ?!?!?

    Ist ein IIS unter WinNT4.0 mit Service Pack 6a

    Komische Sachen passieren !?!?!?

    Gruß Marc

    Werter Leser,

    stellt ich doch bei der Durchsicht meiner Logdateien heute folgende Zeilen in kleinerer Menge fest:

    2001-08-02 02:46:26 xxx.xxx.xxx.xxx - yyy.yyy.yyy.yyy 80 GET /default.ida NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a 200 - -

    wobei xxx.xxx.xxx.xxx für die Quell- und yyy.yyy.yyy.yyy für die
    Zieladresse steht.

    Wie kann ich sicherstellen das ich hier von einem im Juni berichteten Sicherheitsproblem betroffen wurde, beziehungsweise jemandem der das versucht hat auszunutzen?

    Gruss Udo

  2. Werter Leser,

    werter Udo, :-)

    stellt ich doch bei der Durchsicht meiner Logdateien heute folgende Zeilen in kleinerer Menge fest:

    2001-08-02 02:46:26 xxx.xxx.xxx.xxx - yyy.yyy.yyy.yyy 80 GET /default.ida NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a 200 - -

    das Ding nennt sich "Code Red" und ist ein Wurm.
    Gefährlich aber nur für NT-Server.

    Sieh Dir mal meine List der Scans an:

    http://rusch.dyndns.org/wurm.txt

    Reiner