Inbraakpoging via IIS traceren

Status
Niet open voor verdere reacties.
S

StefanNL

Gebruiker
Lid geworden
3 jul 2009
Berichten
13
Beste,

Elke dag krijgen wij server reports van onze servers bij klanten.
Nu kwamen wij een raar probleem tegen dat er 2200x is geprobeerd in te loggen via IIS.
Normaal gesproken wordt er ingelogd met bijvoorbeeld een RDP sessie, en dan zie je het IPadres van de "Hacker" staan, en zo kunnen we het blokkeren.
Nu met het inbreken via IIS zien wij geen IP adres vermeld staan,dus kunnen we niet blokken. Weet iemand hoe je dit kan traceren?

bedankt!

gr,
Stefan
 
Waar heb je precies naar gekeken dan? (oftewel: Wat staat er in die log-bestanden)?
In een IIS-log staan altijd de ip-adressen genoemd, dus ik denk dat je de logbestanden zelf in zijn geheel zult moeten overhalen voor duidelijkheid.
PS: In de IIS manager kun je aangeven per website aangeven óf je logging wilt, hoe uitgebreid die logging dan moet zijn, waar de logbestanden worden neergezet en in welk 'format' die logbestanden moeten zijn.

Voorbeeld:
#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2009-08-14 16:17:19
#Fields: date time s-sitename s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status
2009-08-14 16:17:19 W3SVC1 192.168.1.9 GET /CertEnroll/w2003.crl - 80 - 192.168.1.9 Microsoft-CryptoAPI/5.131.3790.3959 200 0 0
2009-08-14 16:23:27 W3SVC1 192.168.1.9 GET /oma - 80 - 192.168.1.100 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+nl;+rv:1.9.1.2)+Gecko/20090729+Firefox/3.5.2+(.NET+CLR+3.5.30729) 401 2 2148074254
2009-08-14 16:23:37 W3SVC1 192.168.1.9 GET /oma - 80 tijs@mijndomein 192.168.1.100 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+nl;+rv:1.9.1.2)+Gecko/20090729+Firefox/3.5.2+(.NET+CLR+3.5.30729) 301 0 0
2009-08-14 16:24:00 W3SVC1 192.168.1.9 GET /oma/oma.aspx - 80 tijs@mijndomein 192.168.1.100 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+nl;+rv:1.9.1.2)+Gecko/20090729+Firefox/3.5.2+(.NET+CLR+3.5.30729) 500 0 0
2009-08-14 16:24:00 W3SVC1 192.168.1.9 GET /favicon.ico - 80 - 192.168.1.100 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+nl;+rv:1.9.1.2)+Gecko/20090729+Firefox/3.5.2+(.NET+CLR+3.5.30729) 404 0 2
2009-08-14 16:24:03 W3SVC1 192.168.1.9 GET /favicon.ico - 80 - 192.168.1.100 Mozilla/5.0+(Windows;+U;+Windows+NT+5.1;+nl;+rv:1.9.1.2)+Gecko/20090729+Firefox/3.5.2+(.NET+CLR+3.5.30729) 404 0 2
Klik om te vergroten...

Waarbij veldnaam c-ip het ip-adres van de client voorstelt (dus 192.168.1.100 (mijn ip-adres))

Succes,

Tijs.
 
Status
Niet open voor verdere reacties.
                    Steun ons                    

Nieuwste berichten

Terug
Bovenaan Onderaan