Want to protect your cyber security and still get fast solutions? Ask a secure question today.Go Premium

x
?
Solved

suspicious IIS5 log items

Posted on 2004-03-30
3
Medium Priority
?
297 Views
Last Modified: 2008-02-01
I looked into my IIS5 log and lately, I have been getting 30+ a day requests like shown below from comcast's subnet.  Any ideas what this is all about?

10:34:49 68.38.221.161 SEARCH
/±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±± 401
0
Comment
Question by:tomkyn
  • 2
3 Comments
 
LVL 3

Expert Comment

by:shaggyb
ID: 10721085
could be a buffer overflow attack....  also code red still floats aroud

xxxxxxxxxxxxx - - [04/Mar/2004:03:28:22 -0500] "GET *******/root.exe?/c+dir HTTP/1.0" 404 208
xxxxxxxxxxxxx - - [04/Mar/2004:03:28:22 -0500] "GET ***********/cmd.exe?/c+dir HTTP/1.0" 404 218
xxxxxxxxxxxxx - - [04/Mar/2004:03:28:22 -0500] "GET **********/cmd.exe?/c+dir HTTP/1.0" 404 218
xxxxxxxxxxxxx - - [04/Mar/2004:03:28:23 -0500] "GET *************/cmd.exe?/c+dir HTTP/1.0" 404 232
xxxxxxxxxxxxx - - [04/Mar/2004:03:28:23 -0500] "GET *********winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 249
a snippit from my access log, i run apache so i fear not the evil code red!!!

fyi the ************* are removed things such as to not give the entire exploit so script kiddies don't get any bright ideas

0
 
LVL 18

Accepted Solution

by:
chicagoan earned 200 total points
ID: 10721768
an old vulnerability:
"IIS Search Method Vulnerability"
http://www.guninski.com/iissearch.html
0
 
LVL 3

Expert Comment

by:shaggyb
ID: 10729101
sounds like i hit it on the nail....... it is a buffer overflow attackhmmmm
0

Featured Post

Concerto Cloud for Software Providers & ISVs

Can Concerto Cloud Services help you focus on evolving your application offerings, while delivering the best cloud experience to your customers? From DevOps to revenue models and customer support, the answer is yes!

Learn how Concerto can help you.

Question has a verified solution.

If you are experiencing a similar issue, please ask a related question

Introduction How to create multiboot configuration with XP\Vista and Windows 7 on it? And most important question - how to do this correctly so not to have any kind of nightmares we get when system gets screwed? First of all one should realize t…
I use more than 1 computer in my office for various reasons. Multiple keyboards and mice take up more than just extra space, they make working a little more complicated. Using one mouse and keyboard for all of my computers makes life easier. This co…
This is used to tweak the memory usage for your computer, it is used for servers more so than workstations but just be careful editing registry settings as it may cause irreversible results. I hold no responsibility for anything you do to the regist…
Hi friends,  in this video  I'll show you how new windows 10 user can learn the using of windows 10. Thank you.
Suggested Courses

580 members asked questions and received personalized solutions in the past 7 days.

Join the community of 500,000 technology professionals and ask your questions.

Join & Ask a Question