[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Giugno 2001 ml@sikurezza.org Soggetto: Re: piccolo Log IIS Mittente: Saverio Salatino Data: 3 Jun 2001 19:05:50 -0000
Fri, Jun 01, 2001 at 05:43:58PM +0200: MultiTaskinG ---> > ora.. i file hanno come proprietario l'utente IUSR_guest... e poichè > l'intrusione è avvenuta in un orario notturno ritengo molto probabilmente di > aver individuato nel log di IIS l'ip del responsabile.... ti consiglio di dare una occhiata anche al security e all'application log di windows. Su questi file è presente un lock che ne impedisce la modifica da parte di qualunque utente all'infuori di system (almeno da quanto fatto da me come prove personali) e se hai settato per bene le policy dovresti vedere i log riusciti sulla macchina e le eventuali operazioni anomale compiute da IIS (ti consiglio a questo proposito di dare anche una occhiata ad una mia richiesta in lista su IIS di qualche mese fa e la successiva risposta di golem) > anche perchè dopo la creazione del file c'è una sola visita loggata su IIS e > le successive sono a distanza di 3 ore o più.... > inoltre l'intrusione si è verificata due volte... e quindi facendo lo stesso > ragionamento dovrei avere due IP... (e li ho infatti) che se corrispondono > dalla tua descrizione non capisco il collegamento tra le diverse visite e la creazione del file anche il pezzo di log che hai postato francamente non mi dice molto (devo però ammettere che non sto seguendo i vari exploit per nt, quindi non sono certo ...) > Tanto per la cronaca il defacement non è riuscito cmq..... ;-) > ma se qualche riga fa hai affermato che hanno creato dei file sul tuo server. Una domanda: hai per caso installate le estensioni di frontpage? in tal caso controlla i permessi ed i proprietari delle cartelle > la domanda è: Ma voi, ad un tipo così, che gli fareste ? gli direi di uscire e di andarsi a godere il sole. In ogna caso, se non sei certo dell'effettivo 'stato di salute' del tuo server ti conviene o denunciare l'accaduto alle autorità competenti (con tutti i contro e i pro) o quantomeno, se non sei in grado di verificare con sicurezza lo stato della macchina di reinizzializzare il tutto e di rimetterla in rete solo dopo un attento 'hardening'. Ovviamente questo è solo il mio parere personale ;) Ciao Saverio Salatino ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005