komische Einträge (Angriffe ?) in Logfiles W3SVC1

Die Sicherheit ist wichtiger Bestandteil beim Betrieb eines Home Servers, der mit dem Internet verbunden ist.
Antworten
Benutzeravatar
Golf4
Foren-Mitglied
Beiträge: 334
Registriert: 14. Aug 2013, 10:24

komische Einträge (Angriffe ?) in Logfiles W3SVC1

Beitrag von Golf4 » 13. Feb 2014, 11:34

Habe mir mal meine Logfiles vom IIS angesehen.
Seit dem 21.01. versucht alle drei Tage mal jemand auf meinen Server zu kommen.
Immer mit gleicher Reihefolde der 4 Scriptaufrufe an Port 80.
Sind meist IPs aus Thailand 203.172.180.143, Mexico 187.176.42.36, Chile 186.11.56.169,Taiwan 1.169.196.68 220.143.64.16,USA 63.237.93.85 usw ....

Die Einträge sehen dann so aus:
#Date: 2014-01-26 18:41:25
#Fields: date time s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status time-taken
2014-01-26 18:41:25 192.168.115.100 GET /phpTest/zologize/axa.php - 80 - 187.176.42.36 - 404 0 2 202
2014-01-26 18:41:28 192.168.115.100 GET /phpMyAdmin/scripts/setup.php - 80 - 187.176.42.36 - 404 0 2 202
2014-01-26 18:41:28 192.168.115.100 GET /pma/scripts/setup.php - 80 - 187.176.42.36 - 404 0 2 187
2014-01-26 18:41:28 192.168.115.100 GET /myadmin/scripts/setup.php - 80 - 187.176.42.36 - 404 0 2 202
Muss ich mir jetzt Sorgen machen? Was ich so über diese setup.php im Netz gefunden habe hört sich nicht gut an.
Ich glaube bald ich mach den Server von aussen dicht, das wird mir zu schwitzig einen Server mit gefährliche Halbwissen online zu legen. :nw
Aber GET heißt doch eigentlich die Anforderung kommt von innen - oder?
Windows 10pro x64
Intel Pentium i5-4463 / Fujitsu D3222-B / Crucial MX500 250GB / G.Skill DIMM Kit 16GB, DDR3-1600
2x WD30EFRX / 1x WD30EFRX / ST3000VN007 / 1x ST3000VN000
1x WD30EARS (Backup USB3)
be quiet! L8 300W / Dell-T20-Case / DeLOCK 89121 FireWire PCIe
3x Digital Everywhere FloppyDTV C/ G09-KDG / leichtmäuschen
Add-Ins:
LO2, MP-TVServer 1.21, MP-LO-Connector, MP-Extended

Benutzeravatar
Nobby1805
Moderator
Beiträge: 21011
Registriert: 6. Jun 2009, 17:40
Wohnort: Essen

Re: komische Einträge (Angriffe ?) in Logfiles W3SVC1

Beitrag von Nobby1805 » 13. Feb 2014, 12:01

Ne, Get heißt jemand hat diese Seite angefordert .. und 404 ist die Antwort die zurück geschickt wordne ist: 404 Not Found Die angeforderte Ressource wurde nicht gefunden. Dieser Statuscode kann ebenfalls verwendet werden, um eine Anfrage ohne näheren Grund abzuweisen. Links, welche auf solche Fehlerseiten verweisen, werden auch als Tote Links bezeichnet.

Hast du denn php auf deinem WHS installiert ?
WHS: Acer H340 mit 2x 1 TB (WD10EAVS), 2x 2 TB (WD20EARS), PP3+UR2
5 Clients:
1 Intel i5-4670K, ASUS H87-PRO, 32 GB, 250 GB SSD, 2x 500 GB, Win 10 Pro x64 1909
1 Lüfterlos fürs Wohnzimmer, Intel Celeron D 1900, 4 GB, 240 GB, Win 10 Pro x64 1909
1 AMD Ryzen 7 3700X, Gigabyte AORUS, 32 GB, Win 10 Pro x64 1903
1 Sony Vaio EB 2H4E, Win7 Home Prem. x64 (bleibt auf W7 weil Sony keine W10-Grafiktreiber anbietet :cry: )
1 Samsung NP-R540-JS09DE, Win 10 Pro x64 1803


WHSListTombstones, ein Tool zur Auflistung aller Tombstones
WHSDisks, ein Tool zur Darstellung und Prüfung der DriveExtender-Konfiguration
WHSDiskNames, ein Tool zur Änderung der Plattennamen in der Konsole
WHSBackup, Infos und Tool zur Backup-DB (2011-Version (auch für WSE2012))
Bitte schreibt bei Fragen und Problemen eure Konfig in die Signatur

Benutzeravatar
Golf4
Foren-Mitglied
Beiträge: 334
Registriert: 14. Aug 2013, 10:24

Re: komische Einträge (Angriffe ?) in Logfiles W3SVC1

Beitrag von Golf4 » 13. Feb 2014, 12:12

Du stellst wieder Fragen ... :nw :oops:
Hab nix weiter als die Standard-Website und den MP-Extended mit einer zusätzlcieh Website innerhalb des ISS vom WHS2011.
http://forum.team-mediaportal.com/threa ... -4.114106/
Windows 10pro x64
Intel Pentium i5-4463 / Fujitsu D3222-B / Crucial MX500 250GB / G.Skill DIMM Kit 16GB, DDR3-1600
2x WD30EFRX / 1x WD30EFRX / ST3000VN007 / 1x ST3000VN000
1x WD30EARS (Backup USB3)
be quiet! L8 300W / Dell-T20-Case / DeLOCK 89121 FireWire PCIe
3x Digital Everywhere FloppyDTV C/ G09-KDG / leichtmäuschen
Add-Ins:
LO2, MP-TVServer 1.21, MP-LO-Connector, MP-Extended

Benutzeravatar
Nobby1805
Moderator
Beiträge: 21011
Registriert: 6. Jun 2009, 17:40
Wohnort: Essen

Re: komische Einträge (Angriffe ?) in Logfiles W3SVC1

Beitrag von Nobby1805 » 13. Feb 2014, 12:20

Normalerweise hast du m.W. keinen php auf einem WHS2011 ... deshalb ja auch der Fehlercode 404
da versucht jemand einen portscan und sucht potentielle Angriffsopfer
WHS: Acer H340 mit 2x 1 TB (WD10EAVS), 2x 2 TB (WD20EARS), PP3+UR2
5 Clients:
1 Intel i5-4670K, ASUS H87-PRO, 32 GB, 250 GB SSD, 2x 500 GB, Win 10 Pro x64 1909
1 Lüfterlos fürs Wohnzimmer, Intel Celeron D 1900, 4 GB, 240 GB, Win 10 Pro x64 1909
1 AMD Ryzen 7 3700X, Gigabyte AORUS, 32 GB, Win 10 Pro x64 1903
1 Sony Vaio EB 2H4E, Win7 Home Prem. x64 (bleibt auf W7 weil Sony keine W10-Grafiktreiber anbietet :cry: )
1 Samsung NP-R540-JS09DE, Win 10 Pro x64 1803


WHSListTombstones, ein Tool zur Auflistung aller Tombstones
WHSDisks, ein Tool zur Darstellung und Prüfung der DriveExtender-Konfiguration
WHSDiskNames, ein Tool zur Änderung der Plattennamen in der Konsole
WHSBackup, Infos und Tool zur Backup-DB (2011-Version (auch für WSE2012))
Bitte schreibt bei Fragen und Problemen eure Konfig in die Signatur

Benutzeravatar
Golf4
Foren-Mitglied
Beiträge: 334
Registriert: 14. Aug 2013, 10:24

Re: komische Einträge (Angriffe ?) in Logfiles W3SVC1

Beitrag von Golf4 » 13. Feb 2014, 12:37

Die sollen nur kommen diese Schw.... :twisted: :evil: :mrgreen:
Na mal sehen. Wenn ich ehrlich bin, brauche ich weder Remote aus dem Internet noch MP-extended wirklich.
Ist mal solche Spielerei (für mich) und schön wenn man kann - wenn man will.
Aber eigentlich ist der WHS bei mir nur ein MP-TVserver.
Windows 10pro x64
Intel Pentium i5-4463 / Fujitsu D3222-B / Crucial MX500 250GB / G.Skill DIMM Kit 16GB, DDR3-1600
2x WD30EFRX / 1x WD30EFRX / ST3000VN007 / 1x ST3000VN000
1x WD30EARS (Backup USB3)
be quiet! L8 300W / Dell-T20-Case / DeLOCK 89121 FireWire PCIe
3x Digital Everywhere FloppyDTV C/ G09-KDG / leichtmäuschen
Add-Ins:
LO2, MP-TVServer 1.21, MP-LO-Connector, MP-Extended

Benutzeravatar
Nobby1805
Moderator
Beiträge: 21011
Registriert: 6. Jun 2009, 17:40
Wohnort: Essen

Re: komische Einträge (Angriffe ?) in Logfiles W3SVC1

Beitrag von Nobby1805 » 13. Feb 2014, 13:22

dann schalte doch das Forwading im Router komplett aus ...

Benutzeravatar
Golf4
Foren-Mitglied
Beiträge: 334
Registriert: 14. Aug 2013, 10:24

Re: komische Einträge (Angriffe ?) in Logfiles W3SVC1

Beitrag von Golf4 » 13. Feb 2014, 13:26

Tja, genau das ist eigentlich meine Überlegung. :? :roll:
Windows 10pro x64
Intel Pentium i5-4463 / Fujitsu D3222-B / Crucial MX500 250GB / G.Skill DIMM Kit 16GB, DDR3-1600
2x WD30EFRX / 1x WD30EFRX / ST3000VN007 / 1x ST3000VN000
1x WD30EARS (Backup USB3)
be quiet! L8 300W / Dell-T20-Case / DeLOCK 89121 FireWire PCIe
3x Digital Everywhere FloppyDTV C/ G09-KDG / leichtmäuschen
Add-Ins:
LO2, MP-TVServer 1.21, MP-LO-Connector, MP-Extended

Antworten