Solved

suspicious IIS5 log items

Posted on 2004-03-30
3
287 Views
Last Modified: 2008-02-01
I looked into my IIS5 log and lately, I have been getting 30+ a day requests like shown below from comcast's subnet.  Any ideas what this is all about?

10:34:49 68.38.221.161 SEARCH
/±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±± 401
0
Comment
Question by:tomkyn
  • 2
3 Comments
 
LVL 3

Expert Comment

by:shaggyb
ID: 10721085
could be a buffer overflow attack....  also code red still floats aroud

xxxxxxxxxxxxx - - [04/Mar/2004:03:28:22 -0500] "GET *******/root.exe?/c+dir HTTP/1.0" 404 208
xxxxxxxxxxxxx - - [04/Mar/2004:03:28:22 -0500] "GET ***********/cmd.exe?/c+dir HTTP/1.0" 404 218
xxxxxxxxxxxxx - - [04/Mar/2004:03:28:22 -0500] "GET **********/cmd.exe?/c+dir HTTP/1.0" 404 218
xxxxxxxxxxxxx - - [04/Mar/2004:03:28:23 -0500] "GET *************/cmd.exe?/c+dir HTTP/1.0" 404 232
xxxxxxxxxxxxx - - [04/Mar/2004:03:28:23 -0500] "GET *********winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 249
a snippit from my access log, i run apache so i fear not the evil code red!!!

fyi the ************* are removed things such as to not give the entire exploit so script kiddies don't get any bright ideas

0
 
LVL 18

Accepted Solution

by:
chicagoan earned 50 total points
ID: 10721768
an old vulnerability:
"IIS Search Method Vulnerability"
http://www.guninski.com/iissearch.html
0
 
LVL 3

Expert Comment

by:shaggyb
ID: 10729101
sounds like i hit it on the nail....... it is a buffer overflow attackhmmmm
0

Featured Post

Industry Leaders: We Want Your Opinion!

We value your feedback.

Take our survey and automatically be enter to win anyone of the following:
Yeti Cooler, Amazon eGift Card, and Movie eGift Card!

Question has a verified solution.

If you are experiencing a similar issue, please ask a related question

As the title indicates, I have done this before. It chills me everytime I update the OS on my phone, (http://www.experts-exchange.com/articles/18084/Upgrading-to-Android-5-0-Lollipop.html) because one time I did this and I essentially had a bricked …
Windows 10 is here and for most admins this means frustration and challenges getting that first working Windows 10 image. As in my previous sysprep articles, I've put together a simple help guide to get you through this process. The aim is to achiev…
This is used to tweak the memory usage for your computer, it is used for servers more so than workstations but just be careful editing registry settings as it may cause irreversible results. I hold no responsibility for anything you do to the regist…
Hi friends,  in this video  I'll show you how new windows 10 user can learn the using of windows 10. Thank you.

730 members asked questions and received personalized solutions in the past 7 days.

Join the community of 500,000 technology professionals and ask your questions.

Join & Ask a Question