Log sa IIS 6 daje sledece:
2009-02-28 10:45:08 W3SVC1488898480 192.168.100.251 OPTIONS / - 80 - 192.168.108.2 Microsoft-WebDAV-MiniRedir/5.1.2600 403 6 64
2009-02-28 10:45:09 W3SVC1488898480 192.168.100.251 OPTIONS / - 80 - 192.168.108.2 Microsoft-WebDAV-MiniRedir/5.1.2600 403 6 64
2009-02-28 10:45:09 W3SVC1488898480 192.168.100.251 OPTIONS / - 80 - 192.168.108.2 Microsoft-WebDAV-MiniRedir/5.1.2600 403 6 64
2009-02-28 10:45:10 W3SVC1488898480 192.168.100.251 OPTIONS / - 80 - 192.168.108.2 Microsoft-WebDAV-MiniRedir/5.1.2600 403 6 64
a netlog daje sledece:
02/28 10:45:18 [LOGON] DOMING: SamLogon: Network logon of Domain\username from (computer name) Entered
02/28 10:45:18 [LOGON] DOMING: SamLogon: Network logon of Domain\username from (computer name) Returns 0xC0000234
02/28 10:45:19 [LOGON] DOMING: SamLogon: Network logon of Domain\username from (computer name) Entered
02/28 10:45:19 [LOGON] DOMING: SamLogon: Network logon of Domain\username from (computer name) Returns 0xC0000234
Rezultati u ukruženju:
1. Pokusaji logovanja uvek dolaze sa jednog racunara u mrezi
2. Pokusaji dolaze sa pravim usernam-om i to od navodno svih korisnika domain-a, odnosno user name se naizmenicno smenjuje
3. Ovo dovodi do zakljucavanja naloga na domenu usled očigledno pogresnih passworda
Probano:
1. Skeniranje sa F-Secure Client Securiti 8 svih umesanih racunara
2. Na klijentskoj masini sa koje dolaze napadi u registriju onemogucen webdav
Bio bih zahvalan na bilo kakvoj ideji...i da napomenem da sam probao jos dosta stvari sa raznih foruma...itd.