[伺]各位有安裝微軟的iis lockeddown嗎?- 藍色小舖 BlueShop

台灣最大程式設計社群網站

∣免費加入會員∣登入 ∣回首頁∣ 您好

線上人數
1335

會員總數：246624
討論主題：190053

登入

登出

歡迎您免費加入會員

討論區選單

開發工具

行動裝置開發

資料庫

多媒體 / 網管

綜合

文章區

討論區列表 >> Windows 伺服器 >> [伺]各位有安裝微軟的iis lockeddown嗎?

[]

[我要回覆]

[伺]各位有安裝微軟的iis lockeddown嗎?
價值 : 0 QP 點閱數:1957 回應數:3

樓主

哄哄我

77	10
330	34

發送站內信

自從上星期安裝了IIS LOCKEDDOWN之後，透過URLSCAN的功能，把從前IP一堆奇怪執行我網站的EXE全部檔下來了，不過我不清楚這些IP到底是駭客在SCAN，還是因為該主機中毒所導致，以下是攔截到IP某的LOG內容，希望有人能告訴我這是什麼程式導致的結果，有沒有辦法完全防堵。
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
[03-21-2002 - 03:06:08] Client at 61.158.120.149: URL contains extension '.exe', which is disallowed. Request will be rejected.  Site Instance='3', Raw URL='/scripts/root.exe'
[03-21-2002 - 03:06:08] Client at 61.158.120.149: URL contains extension '.exe', which is disallowed. Request will be rejected.  Site Instance='3', Raw URL='/MSADC/root.exe'
[03-21-2002 - 03:06:12] Client at 61.158.120.149: URL contains extension '.exe', which is disallowed. Request will be rejected.  Site Instance='3', Raw URL='/c/winnt/system32/cmd.exe'
[03-21-2002 - 03:06:12] Client at 61.158.120.149: URL contains extension '.exe', which is disallowed. Request will be rejected.  Site Instance='3', Raw URL='/d/winnt/system32/cmd.exe'
[03-21-2002 - 03:06:15] Client at 61.158.120.149: URL normalization was not complete after one pass. Request will be rejected.  Site Instance='3', Raw URL='/scripts/..%255c../winnt/system32/cmd.exe'
[03-21-2002 - 03:06:16] Client at 61.158.120.149: URL normalization was not complete after one pass. Request will be rejected.  Site Instance='3', Raw URL='/_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe'
[03-21-2002 - 03:06:19] Client at 61.158.120.149: URL normalization was not complete after one pass. Request will be rejected.  Site Instance='3', Raw URL='/_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe'
[03-21-2002 - 03:06:19] Client at 61.158.120.149: URL normalization was not complete after one pass. Request will be rejected.  Site Instance='3', Raw URL='/msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe'
[03-21-2002 - 03:06:20] Client at 61.158.120.149: URL contains high bit character. Request will be rejected.  Site Instance='3', Raw URL='/scripts/..%c1%1c../winnt/system32/cmd.exe'
[03-21-2002 - 03:06:20] Client at 61.158.120.149: URL contains high bit character. Request will be rejected.  Site Instance='3', Raw URL='/scripts/..%c0%2f../winnt/system32/cmd.exe'
[03-21-2002 - 03:06:23] Client at 61.158.120.149: URL contains high bit character. Request will be rejected.  Site Instance='3', Raw URL='/scripts/..%c0%af../winnt/system32/cmd.exe'

本篇文章發表於2002-03-22 09:04

1樓最有價值解答 sabcat	那是對方主機中毒像是nimda之類的那些root.exe 其實只是改名後的cmd.exe複本它在try你的主機是否有unicode漏洞本篇文章回覆於2002-03-22 09:11 == 簽名檔 == --未登入的會員無法查看對方簽名檔--
2樓作者回應哄哄我	那我可以不要用urlscan檔下它嗎？因為我要用FRONTPAGE的SERVER EXTENTION來更改網頁，而URLSCANEXE會檔所有的EXE執行檔，這樣我就不能用FRONTPAGE來直接更新網頁了。不檔會不會讓我的主機也中毒，或是被找到漏洞本篇文章回覆於2002-03-22 10:39 == 簽名檔 == --未登入的會員無法查看對方簽名檔--
3樓回應 sabcat	我是沒裝那個lockdown啦~@@~因為我的主機在防火牆後所以我也不清楚是否能不用urlscan 但是...若你的IIS做過了PATCH~那就可以不用裝LOCKDOWN了吧@@? 這方面我並不清楚..SO~幫不上忙..看看是否有其它懂的人能伸出援手吧 SORRY~NE 本篇文章回覆於2002-03-22 11:01 == 簽名檔 == --未登入的會員無法查看對方簽名檔--

回覆

如要回應,請先登入.

1樓最有價值解答 sabcat	那是對方主機中毒像是nimda之類的那些root.exe 其實只是改名後的cmd.exe複本它在try你的主機是否有unicode漏洞本篇文章回覆於2002-03-22 09:11 == 簽名檔 == --未登入的會員無法查看對方簽名檔--
2樓作者回應哄哄我	那我可以不要用urlscan檔下它嗎？因為我要用FRONTPAGE的SERVER EXTENTION來更改網頁，而URLSCANEXE會檔所有的EXE執行檔，這樣我就不能用FRONTPAGE來直接更新網頁了。不檔會不會讓我的主機也中毒，或是被找到漏洞本篇文章回覆於2002-03-22 10:39 == 簽名檔 == --未登入的會員無法查看對方簽名檔--
3樓回應 sabcat	我是沒裝那個lockdown啦~@@~因為我的主機在防火牆後所以我也不清楚是否能不用urlscan 但是...若你的IIS做過了PATCH~那就可以不用裝LOCKDOWN了吧@@? 這方面我並不清楚..SO~幫不上忙..看看是否有其它懂的人能伸出援手吧 SORRY~NE 本篇文章回覆於2002-03-22 11:01 == 簽名檔 == --未登入的會員無法查看對方簽名檔--