Er dette et forsøg på hacking?

Ja det er det.... det er et forsøg på en BUFFER OVERFLOW....

404, Ja, det er en fejl, og der betyder at den ikke kunne udfører den ønskede opgave

>>cokeman kan du ikke definere hvordan og hvorledes man kan se at det er en BUFFER OVERFLOW og hvad betyder det, og hvordan gør man det?

mvh ecoder!

Hvad betyder BUFFER OVERFLOW?

Husk at anmelde til: http://www.anmeldelse.politi.dk/ - "forsøg" straffe også jfr. straffeloven. Så du har en sag..........Husk at fremsende log ;-)

Har anmeldt det til csirt da det er udbyderens abuse adresse.

Husk så også lige at få patchet din egen WEB-server applikation og OS op - så det ikke sker igen !

Bufferoverflow, betyder at de forsøger at lave en fejl på din IIS server, og få den til at kører CMD.exe, og på en måde det ville give dem FULD adgang til din server.

Var der kun denne ene entry i din log, eller er den en del at flere af samme type. Det kan nemlig sagtens være et virus angreb af nimbda typen eller tilsvarende

bufferzone>> Der er en del entrys fra samme ip adresse over flere dage.

lars ole>> er ikke system/netværks kyndig hvad betyder patche min webserver og OS?

cokeman>> Har ikke en IIS-server.

Tjaa - afhængig af hvad OS du kører og applikation. Hvis du kører f.eks. Win2k og IIS 4 eller 5. så skal du hente de seneste services releases fra MS - f.eks. er den seneste SR 3 til Win2k. Du bør også følge de sikkerhedsanvisninger der ligger på: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/chklist/w2kprocl.asp
og denne:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/chklist/w2kprocl.asp

Hvis du har andet OS f.eks. Linux - så må du søge hjælp http://www.sslug.dk

Patche, betyder at du henter de nyeste opdateringer og fejlrettelser og dermed får dit system opdateret, og dermed sikret med at dette vil kunne ske igen.

IIS, eller anden web server, betyder ikke noget, det er det samme vi snakker om.

Uanset hvad jeg gør for at opdatere med nyeste systemopdateringer kan jeg vel ikke forhindre at nogen forsøger?
Den entry jeg citerede her kan jeg vel ikke forhindres? Kun at det ikke lykkedes, hvad det jo ikke gjorde ?

Dette er korrekt.... men du kan forhindre at de finder nye metoder, som der jo hele tiden opstår....

cokeman>> tak.

bufferzone>> kan du sætte lidt flere ord på dit indlæg om virus. Jeg har  en masse af den slags entries fra flere forskellige ip adresser.

Nimda er en virus/orm, som bla. prøver at sprede sig til sårbare IIS servere (servere som ikke er opdateret). Derfor kan det være at den person som forsøger at komme ind til dig, faktisk ikke ved at det sker.

Men nu når du har kontaktet deres abuse afdeling, så burde de forklare dette til deres kunde.

Der findes en del orme der udnytter vuknerabilities i mail og webservere til at sprede sig selv. Prøv bare at kikke på sans/fib top 20 liste over  computervulnerabilities til windows, der er adskillige bufferoverflows udnyttet af orme. http://www.sans.org/top20/

Hvis det er et orme angreb vil entries i loggen normalt komme hurtigt efter hinnanden, med 10 - 20 forskellige forespørgslen og forsøg på pverflows i sekuntet.

Den nyeste orm i omløg er bugbear se her http://www.comon.dk/index.php?page=news:show,id=12237

tak!