Dr. Watson on IIS 4.0

B

Barak Turovsky

Hi all,

I have a web site running on IIS 4.0 on Windows NT 4.0 Server.
The site is working perfectly for 3 years.
Recently i have a strange problem while the IIS is crashing giving the Dr.
Watson error very frequently.
From IIS logs i learn that that cause for the crash is the search command,
like this:

"18:39:16 68.236.52.230 SEARCH
/±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
±±±±±±±±±±±±
























301"

After this command usually (not always) the server is crashing and i need to
restart it.

The regular (good) command looks like this:

21:29:57 192.168.145.24 GET / 301

Any ideas what could cause this crash and how to resolve the problem?

Thanks a lot,

Barak
 
R

Ray

Yeah, it's an attempted buffer flow from someone trying to take control of
your server. We started seeing these a few weeks ago and now I'm getting
them every day.

I STRONGLY suggest you download and install the URLScan tool from Microsoft
and get it installed as soon as possible. Among its other features, it will
stop overly long URLs like this from ever getting to your web server.

Ray
 
K

Ken Schaefer

To be honest, I doubt this is the problem.
There is an SSL DoS tool available, that will cause InetInfo.exe to crash. I
suspect you are being attacked by an automated tool, and it is trying a
number of different attacks until it finds one that works. The one that
works will not be logged by IIS, because IIS crashes before the request can
be logged.

Microsoft released a patch for the SSL problem (it is part of MS04-011)
about 2 weeks ago. You should install that ASAP
http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx

Cheers
Ken

: Hi all,
:
: I have a web site running on IIS 4.0 on Windows NT 4.0 Server.
: The site is working perfectly for 3 years.
: Recently i have a strange problem while the IIS is crashing giving the Dr.
: Watson error very frequently.
: From IIS logs i learn that that cause for the crash is the search command,
: like this:
:
: "18:39:16 68.236.52.230 SEARCH
:
/±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
:
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
:
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
:
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
:
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
:
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
:
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
:
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
:
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
:
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
:
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
:
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
:
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
:
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
:
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
:
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
:
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
:
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
:
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
:
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
:
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
:
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
:
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
:
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
:
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
:
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
:
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
:
±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±
:
±±±±±±±±±±±±
:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

: 301"
:
: After this command usually (not always) the server is crashing and i need
to
: restart it.
:
: The regular (good) command looks like this:
:
: 21:29:57 192.168.145.24 GET / 301
:
: Any ideas what could cause this crash and how to resolve the problem?
:
: Thanks a lot,
:
: Barak
:
:
:
:
 

Ask a Question

Want to reply to this thread or ask your own question?

You'll need to choose a username for the site, which only take a couple of moments. After that, you can post your question and our members will help you out.

Ask a Question

Similar Threads

Can IIS & ASP run on Windows NT workstation 4.0 5
win32all 162 installation error [dr watson] 1
Forcing Dr. Watson via WMI from asp.net web app 2
Access violation not caught/trapped by Visual Studio or Dr Watson 3
Minimum Total Difficulty 0
(IIS) problems with virtual directory 2
Python 2.2 (ActiveState, build 224) and access violations/Dr Watson(long) 1
How do I publish Cold Fusion Reports on a IIS 4.0 Server 0

Members online

Total: 99 (members: 4, guests: 95)
Robots: 238

Forum statistics

Threads
473,995
Messages
2,570,230
Members
46,818
Latest member
Brigette36

Latest Threads

Top