none
Microsoft Internet Information Services 10.0 chyby v logu RRS feed

  • Dotaz

  • Zdravim s dotazem zda by nekdo umel nasmerovat k vyreseni problemu,

    resim pomalou odezvu IIS napojeneho na apliakci na SQL nicmene pri analyze jsem v logach IIS a Windows narazil na tyto hlasky

    log IIS z dneska (u_ex201027)

    #Software: Microsoft Internet Information Services 10.0
    #Version: 1.0
    #Date: 2020-10-27 03:07:27
    #Fields: date time s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) cs(Referer) sc-status sc-substatus sc-win32-status time-taken
    2020-10-27 03:07:27 192.168.2.252 GET / - 80 - 192.168.2.130 WWW-Mechanize/1.0.0+(http://rubyforge.org/projects/mechanize/) - 200 0 0 0
    #Software: Microsoft Internet Information Services 10.0
    #Version: 1.0
    #Date: 2020-10-27 05:28:08
    #Fields: date time s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) cs(Referer) sc-status sc-substatus sc-win32-status time-taken
    2020-10-27 05:28:08 192.168.2.252 GET /non_existant_web_link123511.htm - 80 - 192.168.2.252 - - 404 0 64 15
    #Software: Microsoft Internet Information Services 10.0
    #Version: 1.0
    #Date: 2020-10-27 05:45:10
    #Fields: date time s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) cs(Referer) sc-status sc-substatus sc-win32-status time-taken
    2020-10-27 05:45:10 192.168.2.252 HEAD /cgi-bin/ - 80 - 192.168.2.252 - - 404 0 2 0
    2020-10-27 05:45:10 192.168.2.252 HEAD /cgi-bin/a1stats/ - 80 - 192.168.2.252 - - 404 0 2 0
    2020-10-27 05:45:10 192.168.2.252 HEAD /error/ - 80 - 192.168.2.252 - - 404 0 2 0
    2020-10-27 05:45:10 192.168.2.252 HEAD /doc/ - 80 - 192.168.2.252 - - 404 0 2 0
    2020-10-27 05:45:10 192.168.2.252 HEAD / - 80 - 192.168.2.252 - - 200 0 0 0
    2020-10-27 05:45:10 192.168.2.252 GET /manual/ - 80 - 192.168.2.252 - - 404 0 2 15
    2020-10-27 05:45:10 192.168.2.252 GET /server-info - 80 - 192.168.2.252 - - 404 0 2 0
    2020-10-27 05:45:10 192.168.2.252 GET /server-status - 80 - 192.168.2.252 - - 404 0 2 0
    2020-10-27 05:45:10 192.168.2.252 HEAD /site/eg/ - 80 - 192.168.2.252 - - 404 0 2 0
    2020-10-27 05:45:10 192.168.2.252 GET /default.asp. - 80 - 192.168.2.252 - - 404 0 0 31
    2020-10-27 05:45:10 192.168.2.252 HEAD /cfdocs/ - 80 - 192.168.2.252 - - 404 0 2 0
    2020-10-27 05:45:10 192.168.2.252 HEAD /cfide/ - 80 - 192.168.2.252 - - 404 0 2 0
    2020-10-27 05:45:10 192.168.2.252 HEAD /cowsconf/ - 80 - 192.168.2.252 - - 404 0 2 0
    2020-10-27 05:45:10 192.168.2.252 HEAD /cgi-bin/cowsconf/ - 80 - 192.168.2.252 - - 404 0 2 0
    2020-10-27 05:45:10 192.168.2.252 GET /edit_image.php dn=1&userfile=/etc/passwd&userfile_name=%20;ls;%20 80 - 192.168.2.252 - - 404 0 2 0
    2020-10-27 05:45:10 192.168.2.252 GET /directory.php dir=%3Bmore%20/etc/passwd 80 - 192.168.2.252 - - 404 0 2 0
    2020-10-27 05:45:10 192.168.2.252 HEAD /code/ - 80 - 192.168.2.252 - - 404 0 2 15
    2020-10-27 05:45:10 192.168.2.252 HEAD /foldoc/ - 80 - 192.168.2.252 - - 404 0 2 15
    2020-10-27 05:45:10 192.168.2.252 GET /trace.axd - 80 - 192.168.2.252 - - 500 0 0 15
    2020-10-27 05:45:10 192.168.2.252 GET /global.asa - 80 - 192.168.2.252 - - 404 7 0 0
    2020-10-27 05:45:10 192.168.2.252 GET /iisadmin - 80 - 192.168.2.252 - - 404 0 2 0
    2020-10-27 05:45:10 192.168.2.252 HEAD /cgi-bin/ikonboard/ - 80 - 192.168.2.252 - - 404 0 2 0
    2020-10-27 05:45:10 192.168.2.252 HEAD /Admin_files/ - 80 - 192.168.2.252 - - 404 0 2 0
    2020-10-27 05:45:10 192.168.2.252 HEAD /iisadmpwd/ - 80 - 192.168.2.252 - - 404 0 2 15
    2020-10-27 05:45:10 192.168.2.252 HEAD /iissamples/ - 80 - 192.168.2.252 - - 404 0 2 0
    2020-10-27 05:45:10 192.168.2.252 HEAD /admin-serv/config/ - 80 - 192.168.2.252 - - 404 0 2 0
    2020-10-27 05:45:10 192.168.2.252 HEAD /PSUser/ - 80 - 192.168.2.252 - - 404 0 2 15
    2020-10-27 05:45:10 192.168.2.252 HEAD /cgi-dos/ - 80 - 192.168.2.252 - - 404 0 2 0
    2020-10-27 05:45:10 192.168.2.252 HEAD /scripts/ - 80 - 192.168.2.252 - - 404 0 2 0
    2020-10-27 05:45:10 192.168.2.252 GET /index.php chemin=..%2F..%2F..%2F..%2F..%2F..%2Fetc 80 - 192.168.2.252 - - 404 0 2 0
    2020-10-27 05:45:10 192.168.2.252 GET /modules.php name=Members_List&&sql_debug=1 80 - 192.168.2.252 - - 404 0 2 0
    2020-10-27 05:45:10 192.168.2.252 HEAD /ROADS/ - 80 - 192.168.2.252 - - 404 0 2 0
    2020-10-27 05:45:10 192.168.2.252 GET /php/php.exe c:\boot.ini 80 - 192.168.2.252 - - 404 0 2 0
    2020-10-27 05:45:10 192.168.2.252 HEAD /servlet/ - 80 - 192.168.2.252 - - 404 0 2 0
    2020-10-27 05:45:10 192.168.2.252 GET / - 80 - 192.168.2.252 - - 200 0 0 0
    2020-10-27 05:45:10 192.168.2.252 HEAD /examples/ - 80 - 192.168.2.252 - - 404 0 2 0
    2020-10-27 05:45:11 192.168.2.252 GET /ftp.pl dir=../../../../../../ 80 - 192.168.2.252 - - 404 0 2 0
    2020-10-27 05:45:11 192.168.2.252 HEAD /way-board/ - 80 - 192.168.2.252 - - 404 0 2 0
    2020-10-27 05:45:11 192.168.2.252 GET /_vti_inf.html - 80 - 192.168.2.252 - - 404 0 2 0
    2020-10-27 05:45:11 192.168.2.252 GET /tsweb/ - 80 - 192.168.2.252 - - 404 0 2 0
    #Software: Microsoft Internet Information Services 10.0
    #Version: 1.0
    #Date: 2020-10-27 07:08:24
    #Fields: date time s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) cs(Referer) sc-status sc-substatus sc-win32-status time-taken
    2020-10-27 07:08:24 192.168.2.252 GET / - 80 - 192.168.2.130 WWW-Mechanize/1.0.0+(http://rubyforge.org/projects/mechanize/) - 200 0 0 15

    přemýšlím kde najít přičinu toho, že se server pta sam sebe na webove stranky viz výše log IIS 

    dále se v systemovém logu objevuje toto s pravidelnisti cca 6:40 - 7:00 hledal jsem v planovači úloh ale na nic podezřeleho jsem nenarazil

    udalost 1309, ASP.NET 4.0.30319.0

    Event code: 3005 

    Event message: Došlo k nezpracované výjimce. 
    Event time: 03.10.2020 6:50:26 
    Event time (UTC): 03.10.2020 4:50:26 
    Event ID: 392cacfab34947449ca0c23855454044 
    Event sequence: 34 
    Event occurrence: 1 
    Event detail code: 0 
     
    Application information: 
        Application domain: /LM/W3SVC/1/ROOT-1-132461742258541006 
        Trust level: Full 
        Application Virtual Path: / 
        Application Path: C:\inetpub\wwwroot\ 
        Machine name: -
     
    Process information: 
        Process ID: 57220 
        Process name: w3wp.exe 
        Account name: IIS APPPOOL\WST 
     
    Exception information: 
        Exception type: HttpException 
        Exception message: V externí součásti došlo k výjimce.
       v System.Web.Handlers.TraceHandler.System.Web.IHttpHandler.ProcessRequest(HttpContext context)
       v System.Web.HttpApplication.CallHandlerExecutionStep.System.Web.HttpApplication.IExecutionStep.Execute()
       v System.Web.HttpApplication.ExecuteStepImpl(IExecutionStep step)
       v System.Web.HttpApplication.ExecuteStep(IExecutionStep step, Boolean& completedSynchronously)

     
     
    Request information: 
        Request URL: http://192.168.2.252/trace.axd 
        Request path: /trace.axd 
        User host address: 192.168.2.252 
        User:  
        Is authenticated: False 
        Authentication Type:  
        Thread account name: IIS APPPOOL\WST 
     
    Thread information: 
        Thread ID: 7 
        Thread account name: IIS APPPOOL\WST 
        Is impersonating: False 
        Stack trace:    v System.Web.Handlers.TraceHandler.System.Web.IHttpHandler.ProcessRequest(HttpContext context)
       v System.Web.HttpApplication.CallHandlerExecutionStep.System.Web.HttpApplication.IExecutionStep.Execute()
       v System.Web.HttpApplication.ExecuteStepImpl(IExecutionStep step)
       v System.Web.HttpApplication.ExecuteStep(IExecutionStep step, Boolean& completedSynchronously)
     
     

    Předem děkuji za radu a případné nasměrování

    J.H.

    úterý 27. října 2020 8:39

Všechny reakce

  • Ty webové dotazy výše vypadají jako sken daného IIS. Buď někým zodpovědným za bezpečnost, nebo naopak potencionálním útočníkem. Testuje to PHP a jiné zranitelnosti a vypadá to na Nessus dotazy.

    A je pomalé ono samotné IIS nebo to SQL za ním? Síťově je to v pořádku mezitím? Není tam nějaká inspekce?

    Zkoušel jste standardní aplikační profiling?

    pátek 30. října 2020 15:14
    Vlastník
  • Zdravim,

    pomale je vypsani dotazu z SQL, ale to bude resit dodavatel IS jelikoz apliaci psal on a bude treba vse optimalizovat.

    Nicmene dotazy se podarilo odhlait jednalo se o legitimni provoz a kontrolu kterou delal Solarwinds RMM

    kazdopadne dekuji za reakci

    J.H.

    úterý 3. listopadu 2020 8:12