/_vti_bin/owssvr.dll和/MSOffice/cltreq.asp是什麼碗糕?
現場:
由於案發現場在千里之外,只能由使用者口述得知以下訊息。
線索:
下列兩個資源是什麼碗糕,有人在攻擊我的網站嗎?
/_vti_bin/owssvr.dll
/MSOffice/cltreq.asp
我的log充滿關於這兩個檔案的記錄,還傳入以下參數。是誰在攻擊我?
UL=1&ACT=4&BUILD=8164&STRMVER=4&CAPREQ=0
google:
These are requests from a user who has installed Microsoft Office and Internet Explorer, and who has enabled the "Discuss" toolbar in his browser. When that toolbar is enabled, the browser will automatically query for these two files when visiting each site, to determine whether the Office Server Extensions are installed.
開啟最新的log作檢視(一般來說在C:\WINDOWS\system32\LogFiles\ 底下)。
重現犯案手法:
目前在log裡,是沒有看到任何有關/_vti_bin/owssvr.dll與/MSOffice/cltreq.asp的記錄,我們試著能不能重現此log。
step1. 在Client端,安裝office 2003 與 IE 7 。
step2. 開啟討論
step3. 在Server端,把http的log清空(測試用的網站)
step4. 在Client端,使用ie7,連結我們的網站
step5. 在Server端,再次查看log,就會看到這個奇怪記錄了
