komische Einträge (Angriffe ?) in Logfiles W3SVC1

Die Sicherheit ist wichtiger Bestandteil beim Betrieb eines Home Servers, der mit dem Internet verbunden ist.
Antworten
Benutzeravatar
Golf4
Foren-Mitglied
Beiträge: 347
Registriert: 14. Aug 2013, 10:24

komische Einträge (Angriffe ?) in Logfiles W3SVC1

Beitrag von Golf4 »

Habe mir mal meine Logfiles vom IIS angesehen.
Seit dem 21.01. versucht alle drei Tage mal jemand auf meinen Server zu kommen.
Immer mit gleicher Reihefolde der 4 Scriptaufrufe an Port 80.
Sind meist IPs aus Thailand 203.172.180.143, Mexico 187.176.42.36, Chile 186.11.56.169,Taiwan 1.169.196.68 220.143.64.16,USA 63.237.93.85 usw ....

Die Einträge sehen dann so aus:
#Date: 2014-01-26 18:41:25
#Fields: date time s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status time-taken
2014-01-26 18:41:25 192.168.115.100 GET /phpTest/zologize/axa.php - 80 - 187.176.42.36 - 404 0 2 202
2014-01-26 18:41:28 192.168.115.100 GET /phpMyAdmin/scripts/setup.php - 80 - 187.176.42.36 - 404 0 2 202
2014-01-26 18:41:28 192.168.115.100 GET /pma/scripts/setup.php - 80 - 187.176.42.36 - 404 0 2 187
2014-01-26 18:41:28 192.168.115.100 GET /myadmin/scripts/setup.php - 80 - 187.176.42.36 - 404 0 2 202
Muss ich mir jetzt Sorgen machen? Was ich so über diese setup.php im Netz gefunden habe hört sich nicht gut an.
Ich glaube bald ich mach den Server von aussen dicht, das wird mir zu schwitzig einen Server mit gefährliche Halbwissen online zu legen. :nw
Aber GET heißt doch eigentlich die Anforderung kommt von innen - oder?
Windows 10pro x64
Intel Pentium i5-4463 / Fujitsu D3222-B / Crucial MX500 250GB / G.Skill DIMM Kit 16GB, DDR3-1600
2x WD30EFRX / 1x WD30EFRX / ST3000VN007 / 1x ST3000VN000
1x WD30EARS (Backup USB3)
be quiet! L8 300W / Dell-T20-Case / DeLOCK 89121 FireWire PCIe
3x Digital Everywhere FloppyDTV C/ G09-KDG / leichtmäuschen
Add-Ins:
LO2, MP-TVServer 1.21, MP-LO-Connector, MP-Extended
Benutzeravatar
Nobby1805
Moderator
Beiträge: 21372
Registriert: 6. Jun 2009, 17:40
Wohnort: Essen

Re: komische Einträge (Angriffe ?) in Logfiles W3SVC1

Beitrag von Nobby1805 »

Ne, Get heißt jemand hat diese Seite angefordert .. und 404 ist die Antwort die zurück geschickt wordne ist: 404 Not Found Die angeforderte Ressource wurde nicht gefunden. Dieser Statuscode kann ebenfalls verwendet werden, um eine Anfrage ohne näheren Grund abzuweisen. Links, welche auf solche Fehlerseiten verweisen, werden auch als Tote Links bezeichnet.

Hast du denn php auf deinem WHS installiert ?
WHS:inzwischen abgeschaltet Acer H340 mit 1x 1 TB (WD10EAVS), 3x 2 TB (2 WD20EARS und 1 ST2000DM001), PP3+UR2
Server:
Intel Celeron J3455 auf Gigabyte Board, Win 10 Pro x64 21H2, 640 GB (System), 16 TB (Backup), 4 TB (Daten), Lindenberg Backup und LightsOut 3
5 Clients:
1 Intel i5-4670K, ASUS H87-PRO, 32 GB, 250 GB SSD, 2x 500 GB, Win 10 Pro x64 21H2
1 Lüfterlos fürs Wohnzimmer, Intel Celeron N4100, 4 GB, 128 GB, Win 11 Pro x64 21H2
1 AMD Ryzen 7 3700X, Gigabyte AORUS, 32 GB, Win 10 Pro x64 2009
1 Sony Vaio EB 2H4E, Win 10 Home x64 2009
1 Samsung NP-R540-JS09DE, Win 10 Pro x64 2009


WHSListTombstones, ein Tool zur Auflistung aller Tombstones
WHSDisks, ein Tool zur Darstellung und Prüfung der DriveExtender-Konfiguration
WHSDiskNames, ein Tool zur Änderung der Plattennamen in der Konsole
WHSBackup, Infos und Tool zur Backup-DB (2011-Version (auch für WSE2012))
Bitte schreibt bei Fragen und Problemen eure Konfig in die Signatur
Benutzeravatar
Golf4
Foren-Mitglied
Beiträge: 347
Registriert: 14. Aug 2013, 10:24

Re: komische Einträge (Angriffe ?) in Logfiles W3SVC1

Beitrag von Golf4 »

Du stellst wieder Fragen ... :nw :oops:
Hab nix weiter als die Standard-Website und den MP-Extended mit einer zusätzlcieh Website innerhalb des ISS vom WHS2011.
http://forum.team-mediaportal.com/threa ... -4.114106/
Windows 10pro x64
Intel Pentium i5-4463 / Fujitsu D3222-B / Crucial MX500 250GB / G.Skill DIMM Kit 16GB, DDR3-1600
2x WD30EFRX / 1x WD30EFRX / ST3000VN007 / 1x ST3000VN000
1x WD30EARS (Backup USB3)
be quiet! L8 300W / Dell-T20-Case / DeLOCK 89121 FireWire PCIe
3x Digital Everywhere FloppyDTV C/ G09-KDG / leichtmäuschen
Add-Ins:
LO2, MP-TVServer 1.21, MP-LO-Connector, MP-Extended
Benutzeravatar
Nobby1805
Moderator
Beiträge: 21372
Registriert: 6. Jun 2009, 17:40
Wohnort: Essen

Re: komische Einträge (Angriffe ?) in Logfiles W3SVC1

Beitrag von Nobby1805 »

Normalerweise hast du m.W. keinen php auf einem WHS2011 ... deshalb ja auch der Fehlercode 404
da versucht jemand einen portscan und sucht potentielle Angriffsopfer
WHS:inzwischen abgeschaltet Acer H340 mit 1x 1 TB (WD10EAVS), 3x 2 TB (2 WD20EARS und 1 ST2000DM001), PP3+UR2
Server:
Intel Celeron J3455 auf Gigabyte Board, Win 10 Pro x64 21H2, 640 GB (System), 16 TB (Backup), 4 TB (Daten), Lindenberg Backup und LightsOut 3
5 Clients:
1 Intel i5-4670K, ASUS H87-PRO, 32 GB, 250 GB SSD, 2x 500 GB, Win 10 Pro x64 21H2
1 Lüfterlos fürs Wohnzimmer, Intel Celeron N4100, 4 GB, 128 GB, Win 11 Pro x64 21H2
1 AMD Ryzen 7 3700X, Gigabyte AORUS, 32 GB, Win 10 Pro x64 2009
1 Sony Vaio EB 2H4E, Win 10 Home x64 2009
1 Samsung NP-R540-JS09DE, Win 10 Pro x64 2009


WHSListTombstones, ein Tool zur Auflistung aller Tombstones
WHSDisks, ein Tool zur Darstellung und Prüfung der DriveExtender-Konfiguration
WHSDiskNames, ein Tool zur Änderung der Plattennamen in der Konsole
WHSBackup, Infos und Tool zur Backup-DB (2011-Version (auch für WSE2012))
Bitte schreibt bei Fragen und Problemen eure Konfig in die Signatur
Benutzeravatar
Golf4
Foren-Mitglied
Beiträge: 347
Registriert: 14. Aug 2013, 10:24

Re: komische Einträge (Angriffe ?) in Logfiles W3SVC1

Beitrag von Golf4 »

Die sollen nur kommen diese Schw.... :twisted: :evil: :mrgreen:
Na mal sehen. Wenn ich ehrlich bin, brauche ich weder Remote aus dem Internet noch MP-extended wirklich.
Ist mal solche Spielerei (für mich) und schön wenn man kann - wenn man will.
Aber eigentlich ist der WHS bei mir nur ein MP-TVserver.
Windows 10pro x64
Intel Pentium i5-4463 / Fujitsu D3222-B / Crucial MX500 250GB / G.Skill DIMM Kit 16GB, DDR3-1600
2x WD30EFRX / 1x WD30EFRX / ST3000VN007 / 1x ST3000VN000
1x WD30EARS (Backup USB3)
be quiet! L8 300W / Dell-T20-Case / DeLOCK 89121 FireWire PCIe
3x Digital Everywhere FloppyDTV C/ G09-KDG / leichtmäuschen
Add-Ins:
LO2, MP-TVServer 1.21, MP-LO-Connector, MP-Extended
Benutzeravatar
Nobby1805
Moderator
Beiträge: 21372
Registriert: 6. Jun 2009, 17:40
Wohnort: Essen

Re: komische Einträge (Angriffe ?) in Logfiles W3SVC1

Beitrag von Nobby1805 »

dann schalte doch das Forwading im Router komplett aus ...
Benutzeravatar
Golf4
Foren-Mitglied
Beiträge: 347
Registriert: 14. Aug 2013, 10:24

Re: komische Einträge (Angriffe ?) in Logfiles W3SVC1

Beitrag von Golf4 »

Tja, genau das ist eigentlich meine Überlegung. :? :roll:
Windows 10pro x64
Intel Pentium i5-4463 / Fujitsu D3222-B / Crucial MX500 250GB / G.Skill DIMM Kit 16GB, DDR3-1600
2x WD30EFRX / 1x WD30EFRX / ST3000VN007 / 1x ST3000VN000
1x WD30EARS (Backup USB3)
be quiet! L8 300W / Dell-T20-Case / DeLOCK 89121 FireWire PCIe
3x Digital Everywhere FloppyDTV C/ G09-KDG / leichtmäuschen
Add-Ins:
LO2, MP-TVServer 1.21, MP-LO-Connector, MP-Extended
Antworten