Gorn
18.06.03, 09:08
Hi,
ich habe seit 2 Tage auf unserem Server neben Portsentry auf Snort 1.7 laufen.
Wenn ich mir nun die Loglifes ansehen werde ich blind. Das sind Massen an Dateien.
In denen im Prinzip von tausenden IPs immer die gleich Attack gemeldet wird:
[**] spp_http_decode: IIS Unicode attack detected [**]
06/16-12:01:11.223826 194.25.32.146:64952 -> 217.172.186.52:80
TCP TTL:120 TOS:0x0 ID:24323 IpLen:20 DgmLen:735 DF
***AP*** Seq: 0x832156D9 Ack: 0x93210A5E Win: 0xF54D TcpLen: 20
[**] spp_http_decode: IIS Unicode attack detected [**]
06/16-12:01:11.223826 194.25.32.146:64952 -> 217.172.186.52:80
TCP TTL:120 TOS:0x0 ID:24323 IpLen:20 DgmLen:735 DF
***AP*** Seq: 0x832156D9 Ack: 0x93210A5E Win: 0xF54D TcpLen: 20
usw.
Hier wird immer auf Port 80 ein IIS attack gemeldet. Port 80 ist unser Webserver... aber was ist ein "IIS Unicode attack"?
GoRn
ich habe seit 2 Tage auf unserem Server neben Portsentry auf Snort 1.7 laufen.
Wenn ich mir nun die Loglifes ansehen werde ich blind. Das sind Massen an Dateien.
In denen im Prinzip von tausenden IPs immer die gleich Attack gemeldet wird:
[**] spp_http_decode: IIS Unicode attack detected [**]
06/16-12:01:11.223826 194.25.32.146:64952 -> 217.172.186.52:80
TCP TTL:120 TOS:0x0 ID:24323 IpLen:20 DgmLen:735 DF
***AP*** Seq: 0x832156D9 Ack: 0x93210A5E Win: 0xF54D TcpLen: 20
[**] spp_http_decode: IIS Unicode attack detected [**]
06/16-12:01:11.223826 194.25.32.146:64952 -> 217.172.186.52:80
TCP TTL:120 TOS:0x0 ID:24323 IpLen:20 DgmLen:735 DF
***AP*** Seq: 0x832156D9 Ack: 0x93210A5E Win: 0xF54D TcpLen: 20
usw.
Hier wird immer auf Port 80 ein IIS attack gemeldet. Port 80 ist unser Webserver... aber was ist ein "IIS Unicode attack"?
GoRn