daswelli
Goto Top

Komische IIS-Logfiles

Hallo zusammen

ich hänge jetzt seit 2 Tagen über den IIS-Logfiles einer unserer Server und komme einfach nicht weiter, weil da meiner Meinung nach komische und nicht definierbare Zeichen drin sind.

Also folgendes zu Beginn:
Wir vermuten, dass eine bestimmte Seite bei uns gehackt wurde. Von heute auf morgen wurden beim Aufruf der Seite weitere Seiten aufgerufen. Nach 100 Seiten stürzte dann aber immer der iexplorer ab, so dass ich keine genaue Angabe über die Menge machen kann. Als wir uns dann die Startseite im Editor angeguckt haben, waren dort Scriptvariblen eingetragen, die definitiv nicht von uns stammen. Wir haben diese dann gelöscht und "schwupps" funktionierte die Seite wieder einwandfrei.

Im Zuge dessen habe ich mir dann einmal die Logfiles zu Gemüte geführt und wahrscheinlich (so denke ich) die betroffenen Zeilen gefunden.

Hier mal ein kleiner Ausszug:

2007-07-30 19:19:02 W3SVC86 RECHNER xyz.xyz.xyz.xyz GET /main.htm d32d2d02 80 - 195.93.60.100
2007-07-30 19:19:03 W3SVC86 RECHNER xyz.xyz.xyz.xyz GET /main.htm 5c0c2dcc5b 80 - 195.93.60.98
2007-07-30 19:19:03 W3SVC86 RECHNER xyz.xyz.xyz.xyz GET /main.htm 76 80 - 195.93.60.129
2007-07-30 19:19:05 W3SVC86 RECHNER xyz.xyz.xyz.xyz GET /main.htm 9e5e789aa1d5 80 - 195.93.60.8
2007-07-30 19:19:05 W3SVC86 RECHNER xyz.xyz.xyz.xyz GET /main.htm 3e2d0c16d 80 - 195.93.60.10

Was mich daran stört, sind die komischen Zeichen hinter der aufzurufenen Seite "main.htm". Diese Einträge habe ich NUR für diesen Account und auch nicht immer. Auch dass in dieser kurzen Zeit Anfragen von verschiedenen IP kommen mit den gleichen Merkmalen - alle IPs, kommen aus dem AOL-Netz.

Jetzt ist einfach nur die Frage, ob ich mit meiner Vermutung richtig liege, dass die Seite gehackt wurde und ob ich jetzt noch weitere Massnahmen durchführen kann um dieses zu konkretisieren!? Die Firewall hab ich gecheckt - läuft einwandfrei und es sind auch keinerlei Änderungen in der letzten Zeit vorgenommen worden.

Wie gesagt, ich habe diese komischen Einträge NUR bei diesem Account und auch erst am Abend bevor die Seite nicht mehr funktionierte. Seitdem haben ich ebenfalls keinerleich Einträge in diesem Muster.

Ich bin über jede Antwort dankbar.

MfG daswelli

Content-ID: 65223

Url: https://administrator.de/forum/komische-iis-logfiles-65223.html

Ausgedruckt am: 22.12.2024 um 17:12 Uhr

51366
51366 01.08.2007 um 13:03:00 Uhr
Goto Top
daswelli
daswelli 01.08.2007 um 13:10:48 Uhr
Goto Top
Also ich habe mir das jetzt mal angeschaut...aber da steht nicht mehr drin, als ich schon weiß. Und diese komischen und irgendwie kryptischen Zeichen sind auch nirgens behandelt.

Hat noch jemand eine Idee oder was ähnliches?