Hallo Dora,

#Fields: date time c-ip c-port s-ip s-port cs-version cs-method cs-uri sc-status s-siteid s-reason s-queuename

Die Felder Nummer 10 und 12 (sc-status und sc-reason) geben also die Antwort des Servers auf die Anfrage an; das Feld Nummer 9 (cs-uri) gibt den Pfad an, der angefragt wurde. Das Feld Nummer 8 gibt an, welche Methode er verwendet hat (cs-method). Schauen wir uns das ganze doch mal an:

2005-06-08 21:18:17 65.15.124.11 1614 192.168.5.100 80 HTTP/1.0 HEAD /samples/check.bat/..%u002f../..%u002fwinnt/system32/cmd.exe?/c+dir+c:?/c+dir+c:\ 403 - Forbidden -
(die anderen sind analog)

Das Feld nummer 9 ist:

/samples/check.bat/..%u002f../..%u002fwinnt/system32/cmd.exe?/c+dir+c:?/c+dir+c:\

Da hat also jemand tatsächlich versucht, eine bekannte, alte Sicherheitslücke im IIS auszunutzen. Dabei hat er die Methode "HEAD" (Feld 8) verwendet. HEAD ist praktisch das gleiche wie GET, nur, dass lediglich der HTTP-Header übermittelt wird und nicht auch der Body - damit kann man bspw. sehen, ob eine Resource überhaupt existiert. Der Angreifer wollte also erstmal an Hand der Statuscodes testen, ob der Server verwundbar ist und wollte noch gar keinen Angriff durchführen (der käme dann als zweiter Schritt). Schauen wir uns nun mal an, ob der Angreifer Erfolg hatte:

403 Forbidden (Feld 10, Feld 12)

Der Server hat also gesagt: "tut mir leid, das, was Du machen willst, ist verboten". Der Server hat also *nicht* versucht, das irgendwie auszuführen. Wenn er es ausgeführt hätte, hätte er einen Statuscode wie 200 Ok gesendet. Eine Übersicht der Statuscodes findest Du in SELFHTML.

ruft da ein hacker die dosbox auf?

Nein, jemand versucht so etwas ähnliches. Und solche Tests nach Sicherheitslücken können automatisiert werden, d.h. im Zweifelsfall wird das wohl ein Script gewesen sein, das automatisch hunderte, tausende IPs durchprobiert hat, um nach verwundbaren Servern zu suchen.

Muss ich mir Sorgen machen?

In diesem Fall: Nein, der Angriff war *nicht* erfolgreich.

Viele Grüße,
Christian