我们运行一个旧的 Windows NT 机器,运行 IIS4.0 的完整补丁。
今天我们被“linuXploit_crew”袭击,他们关闭了我们的网站一两分钟。 (幸运的是,我们很快就注意到了网站上的变化,并在攻击发生后的几分钟内修复了它)。
但是 -- 修复网站后,我想弄清楚是怎么发生的。
查看我们的 FTP 日志,我们的 default.asp 文件没有任何变化,我发现 Web 日志没有任何异常。关于如何确定他们如何进入的任何想法?我们在 Cisco 防火墙上只打开了 3 个端口,FTP、HTTP 和 HTTPS (21,80,443)。
【问题讨论】:
远离 Windows NT 类系统。 IIS 7 的安全性可能还可以,但价格不符合标准。改用 BSD 或 Linux 与 Apache。 Centos 如果 Linux 和 OpenBSD 如果 BSD 我的建议。
【讨论】:
仅通过端口 80 就可以进行多种攻击。您在服务器上运行哪些应用程序? asp 和 php 安全漏洞的数量比操作系统/服务器应用程序漏洞的数量高出一个数量级。
【讨论】:
他们似乎在使用某种形式的注入攻击:请参阅http://msdn.microsoft.com/en-us/library/bb355989.aspx?ppud=4
【讨论】:
IIS 7 + .NET 3.5 SP1 应该是一个不错的升级 :)
【讨论】:
NT/IIS4 不再获得安全更新。任何新的漏洞都将保持未修补。是时候升级了。
一旦您“拥有”足以更改您的网站,您就不一定再信任您的日志了 - 它们可能已被攻击者“清理”。
【讨论】: