linuXploit_crew попал в мой веб-сервер

Question

Мы запустили старую машину с Windows NT, полностью исправленную под управлением IIS4.0.

Сегодня мы пострадали от "linuXploit_crew", и они отключили наши сайты на минуту или две. (К счастью, мы быстро заметили изменения на сайтах и ​​исправили их в течение нескольких минут после атаки).

Однако - После исправления веб-сайта у меня остается попытка выяснить КАК это произошло.

В наших журналах FTP нет изменений в наших файлах default.asp, и я не вижу ничего необычного для веб-журналов. Любые идеи о том, как точно определить, как они вошли? У нас есть только 3 открытых порта: FTP, HTTP и HTTPS (21,80,443) на брандмауэре Cisco.

Answer 1

NT / IIS4 больше не получают обновления безопасности. Все новые эксплойты останутся не исправленными . Время обновить.

Если вы достаточно "владеете", чтобы изменить свой сайт, вы больше не можете доверять своим журналам - они могли быть "очищены" злоумышленником.

Answer 2

Не используйте системы класса Windows NT. IIS 7 может подойти для безопасности, но цена не соответствует стандарту. Вместо этого используйте BSD или Linux с Apache. Centos, если Linux и OpenBSD, если BSD мои предложения.

Answer 3

Широкий спектр атак возможен только через порт 80. Какие приложения вы используете на сервере? Количество дырок в безопасности asp и php на порядок выше, чем число дырок в приложениях ОС / сервера.

Answer 4

Они, похоже, используют какую-то форму инъекционной атаки: см. http://msdn.microsoft.com/en-us/library/bb355989.aspx?ppud=4

Answer 5

IIS 7 + .NET 3.5 SP1 должно быть хорошим обновлением:)