linuXploit_crew打我的網絡服務器

Question

我們運行一箇舊的Windows NT機器，完全修補運行IIS4.0。

今天我們遇到了「linuXploit_crew」，他們把我們的網站記下了一兩分鐘。 （幸運的是，我們很快發現網站發生了變化，並在攻擊發生後幾分鐘內修復）。

但是 - 修復網站後，我仍然試圖找出如何發生這種情況。

查看我們的FTP日誌，我們的default.asp文件沒有變化，而且對於Web日誌，我什麼都看不到。關於如何查明他們如何進入的任何想法？我們僅在思科防火牆上打開了3個端口，即FTP，HTTP和HTTPS（21,80,443）。

Answer 1

NT/IIS4不再獲取安全更新。任何新漏洞仍將保留未修補。升級時間。

一旦您擁有足夠的「所有權」來更改站點，您就不一定會相信您的日誌 - 它們可能已被攻擊者「清除」。

Answer 2

IIS 7 + .NET 3.5 SP1應該是一個不錯的升級:)

Answer 3

他們似乎是使用某種形式的注入攻擊：見http://msdn.microsoft.com/en-us/library/bb355989.aspx?ppud=4

Answer 4

的攻擊的各式各樣只通過端口80是可能的你在服務器上運行什麼應用程序？ asp和php安全漏洞的數量比操作系統/服務器應用漏洞的數量要高。

Answer 5

遠離Windows NT類系統。 IIS 7安全性可能不錯，但價格不符合標準。改用BSD，或者用Apache。 CentOS如果Linux和OpenBSD如果BSD我的建議。