[exploits] IIS zelf onder de loep nemen - Internet en hosting

woensdag 28 mei 2003 09:00

Acties:

Topicstarter

Zelf draai ik een IIS server (5.0 @ Microsoft Windows 2000 Professional),
dagelijks kijk ik soms met verbazing mijn log file's na die vol staan met
exotische regels in de trend van..

GET /winnt/system32/cmd.exe /c+dir+c: 404 3 7594 75 10 HTTP/1.0 - - -

Opzich waarschijnlijk voor niemand vreemt, daar naast draai ik een
firewall waar zo af en toe een venster omhoog springt..

Zelf heb ik een groot vertrouwen dat het allemaal goed gaat, maar
bestaan er site's waar wordt uitgelegt hoe de exploits exact in hun
werk gaan zodat ik het zelf intern kan nabootsen om te kijken op
welke punten mijn beveiliging beter zou kunnen.

Gratis webwinkel beginnen? Met Onetoshop.com kunt u direct beginnen!

woensdag 28 mei 2003 09:04

Acties:

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Gebruik google, er zijn zo veel sites met meer info over IIS exploits.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

woensdag 28 mei 2003 09:04

Acties:

Ramon

ik zou de 'Microsoft Baseline Security Analyzer' eens downloaden en draaien.

[ Voor 10% gewijzigd door Ramon op 28-05-2003 09:05 ]

Check mijn V&A ads: https://tweakers.net/aanbod/user/9258/

woensdag 28 mei 2003 09:05

Acties:

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Tampie schreef op 28 May 2003 @ 09:04:
ik zou de 'Microsoft Baseline Security Analyzer' een downloaden en draaien.

Daar heb je niet echt heel veel aan in dit geval. Topicstarter kan beter naar Packetstorm oid of bugtraq gaan om meer info te lezen.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

woensdag 28 mei 2003 09:06

Acties:

Godjira

To infinity and beyond!

Op Google valt heel veel info te vinden over IIS en alles wat daarbij komt kijken...

Profile

woensdag 28 mei 2003 09:07

Acties:

avon

Topicstarter

Heb al genoeg info gelezen maar alleen over wat het in houdt.
Alleen nergens staat exact vermeld hoe ze bijvoorbeeld 411
commando's naar je server versturen.

het is idd wel on the edge dit topic

...

[ Voor 33% gewijzigd door avon op 28-05-2003 09:08 ]

Gratis webwinkel beginnen? Met Onetoshop.com kunt u direct beginnen!

woensdag 28 mei 2003 09:07

Acties:

Verwijderd

ik denk dat links naar zulke sites illegaal zijn, maar google eens op britney AND iis . Dan kun je op de eerste hit een voorbeeld vinden van de exploit. Het enige waar je voor moet zorgen is om die unicode exploit te patchen, de rest is niet interessant voor scriptkiddies.

woensdag 28 mei 2003 09:11

Acties:

avon

Topicstarter

Verwijderd schreef op 28 May 2003 @ 09:07:
ik denk dat links naar zulke sites illegaal zijn, maar google eens op britney AND iis . Dan kun je op de eerste hit een voorbeeld vinden van de exploit. Het enige waar je voor moet zorgen is om die unicode exploit te patchen, de rest is niet interessant voor scriptkiddies.

Zolang het bekende exploits zijn is het dan illigaal ?

Gratis webwinkel beginnen? Met Onetoshop.com kunt u direct beginnen!

woensdag 28 mei 2003 09:12

Acties:

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Verwijderd schreef op 28 mei 2003 @ 09:07:
ik denk dat links naar zulke sites illegaal zijn, maar google eens op britney AND iis . Dan kun je op de eerste hit een voorbeeld vinden van de exploit. Het enige waar je voor moet zorgen is om die unicode exploit te patchen, de rest is niet interessant voor scriptkiddies.

Links en info over exploits zijn zowiezo niet toegestaan op GoT.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

woensdag 28 mei 2003 09:12

Acties:

avon

Topicstarter

moeilijk om die grens idd aan te brengen...

en lastig dat er niet echt goede test methode's zijn, vooral die
planet internet reklame zet je aan het denken!.

[ Voor 123% gewijzigd door avon op 28-05-2003 09:13 ]

Gratis webwinkel beginnen? Met Onetoshop.com kunt u direct beginnen!

woensdag 28 mei 2003 09:20

Acties:

Verwijderd

lol dat vind ik echt een lame reclame

maar check gewoon eens goed op de microsoft site.
die unicode is een heel bekende iig.

woensdag 28 mei 2003 09:25

Acties:

BlaTieBla

Vloeken En Raak Schieten

AvOn schreef op 28 May 2003 @ 09:11:
[...]

Zolang het bekende exploits zijn is het dan illigaal ?

Die discussie is ooit al eens een keer voorbij gekomen. Persoonlijk vind ik dat een link naar een vulnerability database moet kunnen.
S*c*r*t*f*c*s heeft houdt van praktisch iedere vendor een overzicht bij met deze vulnerabilities. Zelf gebruik ik deze regelmatig om te kijken of er nog iets nieuws is bij gekomen wat relevant is voor mijn situatie.
Ik heb me ooit eens geabonneerd op van die nieuwsbrieven, maar dan krijg je 80% reclame en maar 20% zinnige info.
Die exploits geven een beheerder ook een idee van hoe eenvoudig (of niet) het is om een exploit te gebruiken. Op die manier kan hij/zij ook een prioriteit aan een bug/feature toekennen.
Een beetje beheerder heeft zijn favo's vol staan met links naar dit soort security gerelateerde sites.

[ Voor 193% gewijzigd door BlaTieBla op 28-05-2003 09:33 ]

leica - zeiss - fuji - apple | PSN = Sh4m1n0

woensdag 28 mei 2003 09:25

Acties:

avon

Topicstarter

Verwijderd schreef op 28 mei 2003 @ 09:20:
lol dat vind ik echt een lame reclame

het is wel waar, hoeveel foto's filmpjes bestanden iedereen niet op zijn pc heeft
staan....

[ Voor 37% gewijzigd door avon op 28-05-2003 09:26 ]

Gratis webwinkel beginnen? Met Onetoshop.com kunt u direct beginnen!

woensdag 28 mei 2003 09:28

Acties:

Jimbolino

troep.com

Verwijderd schreef op 28 May 2003 @ 09:07:
....
de rest is niet interessant voor scriptkiddies.

alsof er niet meer exploits zijn waarmee je system access kan krijgen op iis

ik gebruik altijd: http://www.gfi.com/lannetscan/ en de MBSA
verder kun je in IIS het beste de \scripts\ map en \printers\ map weggooien als je hem niet gebruikt

The two basic principles of Windows system administration:
For minor problems, reboot
For major problems, reinstall

woensdag 28 mei 2003 09:30

Acties:

Verwijderd

Jimbolino schreef op 28 May 2003 @ 09:28:
[...]
alsof er niet meer exploits zijn waarmee je system access kan krijgen op iis

Dat zeg ik toch niet

woensdag 28 mei 2003 09:33

Acties:

avon

Topicstarter

Jimbolino schreef op 28 May 2003 @ 09:28:
[...]

alsof er niet meer exploits zijn waarmee je system access kan krijgen op iis

ik gebruik altijd: http://www.gfi.com/lannetscan/ en de MBSA
verder kun je in IIS het beste de \scripts\ map en \printers\ map weggooien als je hem niet gebruikt

Die mappen heb ik idd verwijdert, heb de wwwroot map zelfs op een aparte
NTFS schijf gezet. Hierdoor valt volgens mij 50 % van de kiddyscripts zo ie zo
al in het water.

Ga even dat programma downloaden (trail versie is beschikbaar zie ik).

[ Voor 7% gewijzigd door avon op 28-05-2003 09:34 ]

Gratis webwinkel beginnen? Met Onetoshop.com kunt u direct beginnen!

woensdag 28 mei 2003 09:33

Acties:

Verwijderd

Jimbolino: is idd goeie vuln scanner

woensdag 28 mei 2003 10:32

Acties:

intoxicated

Haaaai :w | ALT-S

Op GoT zien we liever geen (links naar) howto's over exploits, omdat die nou eenmaal ook voor minder legale doeleinden gebruikt kunnen worden.

"Anyone who does not agree with me is mentally sick, and should be shot I'm afraid to say."
- Pastor Richards @ VCPR