古い Windows NT マシンを実行し、完全にパッチを適用して IIS4.0 を実行しています。
今日、私たちは「linuXploit_crew」に襲われ、彼らは私たちのウェブサイトを 1、2 分ダウンさせました。(幸いなことに、私たちは Web サイトの変更にすぐに気付き、攻撃から数分以内に修正しました)。
しかし - ウェブサイトを修正した後、私はこれがどのように起こったのかを理解しようとすることを余儀なくされています.
FTP ログを見ると、default.asp ファイルに変更はなく、Web ログにも異常はありません。彼らがどのように侵入したかを特定する方法についてのアイデアはありますか? Cisco Firewall では、FTP、HTTP、および HTTPS (21,80,443) の 3 つのポートしか開いていません。
NT/IIS4 はセキュリティ更新プログラムを取得しなくなりました。新しいエクスプロイトにはパッチが適用されません。アップグレードする時間です。
サイトを変更するのに十分なほど「所有」されると、必ずしもログを信頼できなくなります。攻撃者によってログが「消去」された可能性があります。
ある種のインジェクション攻撃を使用しているようです: http://msdn.microsoft.com/en-us/library/bb355989.aspx?ppud=4を参照してください。
ポート 80 だけでさまざまな攻撃が可能です。サーバーで実行しているアプリケーションは何ですか? asp および php のセキュリティ ホールの数は、OS/サーバー アプリケーションのホールの数よりもはるかに多くなっています。
Windows NT クラスのシステムには近づかないでください。IIS 7 はセキュリティ上は問題ないかもしれませんが、価格は標準に達していません。代わりに BSD を使用するか、Linux と Apache を使用してください。Linuxの場合はCentos、BSDの場合はOpenBSDが私の提案です。
IIS 7 + .NET 3.5 SP1 は素晴らしいアップグレードになるはずです :)