Dr. Watson on IIS 4.0

Discussion in 'ASP General' started by Barak Turovsky, Apr 5, 2004.

  1. Hi all,

    I have a web site running on IIS 4.0 on Windows NT 4.0 Server.
    The site is working perfectly for 3 years.
    Recently i have a strange problem while the IIS is crashing giving the Dr.
    Watson error very frequently.
    From IIS logs i learn that that cause for the crash is the search command,
    like this:

    "18:39:16 68.236.52.230 SEARCH
    /±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    ±±±±±±±±±±±±
























    301"

    After this command usually (not always) the server is crashing and i need to
    restart it.

    The regular (good) command looks like this:

    21:29:57 192.168.145.24 GET / 301

    Any ideas what could cause this crash and how to resolve the problem?

    Thanks a lot,

    Barak
     
    Barak Turovsky, Apr 5, 2004
    #1
    1. Advertisements

  2. Barak Turovsky

    Ray Guest

    Yeah, it's an attempted buffer flow from someone trying to take control of
    your server. We started seeing these a few weeks ago and now I'm getting
    them every day.

    I STRONGLY suggest you download and install the URLScan tool from Microsoft
    and get it installed as soon as possible. Among its other features, it will
    stop overly long URLs like this from ever getting to your web server.

    Ray
     
    Ray, Apr 8, 2004
    #2
    1. Advertisements

  3. Barak Turovsky

    Bernard Guest

    Bernard, Apr 15, 2004
    #3
  4. Barak Turovsky

    Ken Schaefer Guest

    To be honest, I doubt this is the problem.
    There is an SSL DoS tool available, that will cause InetInfo.exe to crash. I
    suspect you are being attacked by an automated tool, and it is trying a
    number of different attacks until it finds one that works. The one that
    works will not be logged by IIS, because IIS crashes before the request can
    be logged.

    Microsoft released a patch for the SSL problem (it is part of MS04-011)
    about 2 weeks ago. You should install that ASAP
    http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx

    Cheers
    Ken

    : Hi all,
    :
    : I have a web site running on IIS 4.0 on Windows NT 4.0 Server.
    : The site is working perfectly for 3 years.
    : Recently i have a strange problem while the IIS is crashing giving the Dr.
    : Watson error very frequently.
    : From IIS logs i learn that that cause for the crash is the search command,
    : like this:
    :
    : "18:39:16 68.236.52.230 SEARCH
    :
    /±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    :
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    :
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    :
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    :
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    :
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    :
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    :
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    :
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    :
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    :
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    :
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    :
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    :
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    :
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    :
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    :
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    :
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    :
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    :
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    :
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    :
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    :
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    :
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    :
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    :
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    :
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    :
    ±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
    :
    ±±±±±±±±±±±±
    :

    :

    :

    :

    :

    :

    :

    :

    :

    :

    :

    :

    :

    :

    :

    :

    :

    :

    :

    :

    :

    :

    :

    :

    : 301"
    :
    : After this command usually (not always) the server is crashing and i need
    to
    : restart it.
    :
    : The regular (good) command looks like this:
    :
    : 21:29:57 192.168.145.24 GET / 301
    :
    : Any ideas what could cause this crash and how to resolve the problem?
    :
    : Thanks a lot,
    :
    : Barak
    :
    :
    :
    :
     
    Ken Schaefer, Apr 27, 2004
    #4
    1. Advertisements

Ask a Question

Want to reply to this thread or ask your own question?

You'll need to choose a username for the site, which only take a couple of moments (here). After that, you can post your question and our members will help you out.