Dr. Watson on IIS 4.0

Discussion in 'ASP General' started by Barak Turovsky, Apr 5, 2004.

  1. Hi all,

    I have a web site running on IIS 4.0 on Windows NT 4.0 Server.
    The site is working perfectly for 3 years.
    Recently i have a strange problem while the IIS is crashing giving the Dr.
    Watson error very frequently.
    From IIS logs i learn that that cause for the crash is the search command,
    like this:

    "18:39:16 68.236.52.230 SEARCH
    /±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    ±±±±±±±±±±±±
























    301"

    After this command usually (not always) the server is crashing and i need to
    restart it.

    The regular (good) command looks like this:

    21:29:57 192.168.145.24 GET / 301

    Any ideas what could cause this crash and how to resolve the problem?

    Thanks a lot,

    Barak
     
    Barak Turovsky, Apr 5, 2004
    #1
    1. Advertising

  2. Barak Turovsky

    Ray Guest

    Yeah, it's an attempted buffer flow from someone trying to take control of
    your server. We started seeing these a few weeks ago and now I'm getting
    them every day.

    I STRONGLY suggest you download and install the URLScan tool from Microsoft
    and get it installed as soon as possible. Among its other features, it will
    stop overly long URLs like this from ever getting to your web server.

    Ray

    "Barak Turovsky" <> wrote in message
    news:%...
    > Hi all,
    >
    > I have a web site running on IIS 4.0 on Windows NT 4.0 Server.
    > The site is working perfectly for 3 years.
    > Recently i have a strange problem while the IIS is crashing giving the Dr.
    > Watson error very frequently.
    > From IIS logs i learn that that cause for the crash is the search command,
    > like this:
    >
    > "18:39:16 68.236.52.230 SEARCH
    >

    /±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    >

    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    >

    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    >

    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    >

    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    >

    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    >

    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    >

    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    >

    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    >

    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    >

    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    >

    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    >

    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    >

    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    >

    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    >

    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    >

    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    >

    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    >

    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    >

    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    >

    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    >

    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    >

    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    >

    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    >

    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    >

    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    >

    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    >

    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    >

    ±±±±±±±±±±±±
    >


    >


    >


    >


    >


    >


    >


    >


    >


    >


    >


    >


    >


    >


    >


    >


    >


    >


    >


    >


    >


    >


    >


    >


    > 301"
    >
    > After this command usually (not always) the server is crashing and i need

    to
    > restart it.
    >
    > The regular (good) command looks like this:
    >
    > 21:29:57 192.168.145.24 GET / 301
    >
    > Any ideas what could cause this crash and how to resolve the problem?
    >
    > Thanks a lot,
    >
    > Barak
    >
    >
    >
    >
     
    Ray, Apr 8, 2004
    #2
    1. Advertising

  3. Barak Turovsky

    Bernard Guest

    This is buffer overrun techniques to 'blow' your server.
    You might want to make sure your server is patch up to date,
    and deploy urlscan to block 'search' verb if you are not using it.

    --
    Regards,
    Bernard Cheah
    http://www.tryiis.com/
    http://support.microsoft.com/
    http://www.msmvps.com/bernard/



    "Barak Turovsky" <> wrote in message
    news:#...
    > Hi all,
    >
    > I have a web site running on IIS 4.0 on Windows NT 4.0 Server.
    > The site is working perfectly for 3 years.
    > Recently i have a strange problem while the IIS is crashing giving the Dr.
    > Watson error very frequently.
    > From IIS logs i learn that that cause for the crash is the search command,
    > like this:
    >
    > "18:39:16 68.236.52.230 SEARCH
    > /??????????????????????????????????????
    > ??????????????????????????????????????
    > ??????????????????????????????????????
    > ??????????????????????????????????????
    > ??????????????????????????????????????
    > ??????????????????????????????????????
    > ??????????????????????????????????????
    > ??????????????????????????????????????
    > ??????????????????????????????????????
    > ??????????????????????????????????????
    > ??????????????????????????????????????
    > ??????????????????????????????????????
    > ??????????????????????????????????????
    > ??????????????????????????????????????
    > ??????????????????????????????????????
    > ??????????????????????????????????????
    > ??????????????????????????????????????
    > ??????????????????????????????????????
    > ??????????????????????????????????????
    > ??????????????????????????????????????
    > ??????????????????????????????????????
    > ??????????????????????????????????????
    > ??????????????????????????????????????
    > ??????????????????????????????????????
    > ??????????????????????????????????????
    > ??????????????????????????????????????
    > ??????????????????????????????????????
    > ??????????????????????????????????????
    > ??????????????????????????????????????
    > ??????????????????????????????????????
    > ??????????????????????????????????????
    > ??????????????????????????????????????
    > ??????????????????????????????????????
    > ??????????????????????????????????????
    > ??????????????????????????????????????
    > ??????????????????????????????????????
    > ??????????????????????????????????????
    > ??????????????????????????????????????
    > ??????????????????????????????????????
    > ??????????????????????????????????????
    > ??????????????????????????????????????
    > ??????????????????????????????????????
    > ??????????????????????????????????????
    > ??????????????????????????????????????
    > ??????????????????????????????????????
    > ??????????????????????????????????????
    > ??????????????????????????????????????
    > ??????????????????????????????????????
    > ??????????????????????????????????????
    > ??????????????????????????????????????
    > ??????????????????????????????????????
    > ??????????????????????????????????????
    > ??????????????????????????????????????
    > ?????????????????????????????????? 301"
    >
    > After this command usually (not always) the server is crashing and i need

    to
    > restart it.
    >
    > The regular (good) command looks like this:
    >
    > 21:29:57 192.168.145.24 GET / 301
    >
    > Any ideas what could cause this crash and how to resolve the problem?
    >
    > Thanks a lot,
    >
    > Barak
    >
    >
    >
    >
     
    Bernard, Apr 15, 2004
    #3
  4. Barak Turovsky

    Ken Schaefer Guest

    To be honest, I doubt this is the problem.
    There is an SSL DoS tool available, that will cause InetInfo.exe to crash. I
    suspect you are being attacked by an automated tool, and it is trying a
    number of different attacks until it finds one that works. The one that
    works will not be logged by IIS, because IIS crashes before the request can
    be logged.

    Microsoft released a patch for the SSL problem (it is part of MS04-011)
    about 2 weeks ago. You should install that ASAP
    http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx

    Cheers
    Ken

    "Barak Turovsky" <> wrote in message
    news:%...
    : Hi all,
    :
    : I have a web site running on IIS 4.0 on Windows NT 4.0 Server.
    : The site is working perfectly for 3 years.
    : Recently i have a strange problem while the IIS is crashing giving the Dr.
    : Watson error very frequently.
    : From IIS logs i learn that that cause for the crash is the search command,
    : like this:
    :
    : "18:39:16 68.236.52.230 SEARCH
    :
    /±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    :
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    :
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    :
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    :
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    :
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    :
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    :
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    :
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    :
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    :
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    :
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    :
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    :
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    :
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    :
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    :
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    :
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    :
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    :
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    :
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    :
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    :
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    :
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    :
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    :
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    :
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    :
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    :
    ±±±±±±±±±±±±
    :

    :

    :

    :

    :

    :

    :

    :

    :

    :

    :

    :

    :

    :

    :

    :

    :

    :

    :

    :

    :

    :

    :

    :

    : 301"
    :
    : After this command usually (not always) the server is crashing and i need
    to
    : restart it.
    :
    : The regular (good) command looks like this:
    :
    : 21:29:57 192.168.145.24 GET / 301
    :
    : Any ideas what could cause this crash and how to resolve the problem?
    :
    : Thanks a lot,
    :
    : Barak
    :
    :
    :
    :
     
    Ken Schaefer, Apr 27, 2004
    #4
    1. Advertising

Want to reply to this thread or ask your own question?

It takes just 2 minutes to sign up (and it's free!). Just click the sign up button to choose a username and then you can ask your own questions on the forum.
Similar Threads
  1. Dr. StrangeDub

    Forcing Dr. Watson via WMI from asp.net web app

    Dr. StrangeDub, Oct 1, 2003, in forum: ASP .Net
    Replies:
    2
    Views:
    659
    Dr. StrangeDub
    Oct 3, 2003
  2. Hazzard
    Replies:
    5
    Views:
    326
    Steven Cheng[MSFT]
    Apr 15, 2004
  3. Greg B
    Replies:
    3
    Views:
    878
  4. =?iso-8859-1?q?Lars_Bj=F8nnes?=
    Replies:
    1
    Views:
    438
    =?iso-8859-1?q?Lars_Bj=F8nnes?=
    Oct 16, 2003
  5. PiErre
    Replies:
    1
    Views:
    411
    PiErre
    Apr 8, 2004
Loading...

Share This Page