Недавно для веб-сервера было выполнено сканирование PCI, и в результате произошел сбой. Некоторые проблемы можно было исправить, но другие просто не имеют для меня смысла.
Машина была чистой установкой, работают только две вещи: веб-сайт .NET 3.5 и брандмауэр веб-приложения dotDefender.
Однако есть несколько ошибок, похожих на:
Уязвимость веб-сервера Воздействие: / servlet / SessionServlet: Обнаружен сервлет по умолчанию JRun или Netware WebSphere. Весь код по умолчанию должен быть удален с серверов. Фактор риска: средний / CVSS2 Базовая оценка: 6,4 CVE: CVE-2000-0539
Я не уверен, что это, но я не могу найти на сервере ничего похожего на это.
Уязвимость веб-сервера Воздействие: /some.php?=PHPE9568F35- D428-11d2-A769-00AA001ACF42: PHP выявляет потенциально конфиденциальную информацию через определенные HTTP-запросы, содержащие определенные строки QUERY. Фактор риска: средний / CVSS2 Базовый балл: 5,0
PHP не установлен. Попытка добавить эту строку запроса на любую страницу ничего не дает, потому что приложение ее игнорирует. И делая это phpVersion Результат проверки - 404. Подобно этому, есть десятки ошибок, связанных с JSP и Oracle, которые также не установлены.
Уязвимость веб-сервера Воздействие: /admin/database/wwForum.mdb: Форумы Web Wiz до 7.5 уязвимы для атак межсайтового скриптинга. Вход / пароль по умолчанию: администратор / letmein Фактор риска: средний / CVSS2 Базовая оценка: 4,0
Есть несколько подобных ошибок, говорящих мне, что форумы Web Wiz, Alan Ward A-Cart 2.0, IlohaMail и т. Д. Уязвимы. Они нигде не установлены и не упоминаются.
Есть даже ссылки на страницы, которых просто не существует, например OpenAutoClassifieds.
Может ли кто-нибудь указать мне в правильном направлении, почему появляются эти ошибки или где я мог бы искать эти компоненты, если они действительно установлены?
Примечание. Этот веб-сайт и сервер являются поддоменом основного веб-сайта. Основной веб-сайт работает на сервере, на котором работает Apache / PHP, но у меня нет доступа к этому серверу. В отчете говорится, что данный субдомен сканировался, но возможно ли сканирование основного сайта?
Краткий ответ: нет.
Длинный ответ: произошло одно из трех:
Ваш аудитор просканировал не ту машину, как сказал @ HopelessN00b.
(это наиболее вероятный сценарий - вы говорите, что сайт PCI является поддоменом, а сайт над ним находится на сайте Apache / PHP, поэтому вполне возможно, что они просканировали этот сайт и нашли перечисленные уязвимости)
Ваша машина была взломана в очень быстрой спешке.
(Да, это тоже происходит - хотя, если вы проверили машину и обнаружили, что результаты аудита недействительны, я думаю, мы можем это исключить.)
Ваш аудитор безопасности - идиот
(Не нанимайте этого парня!)
Поскольку номер 1 наиболее вероятен на основе того, что вы нам сказали, выясните, какая машина (имя хоста и IP-адрес), который просканировал аудитор, убедитесь, что это правильный компьютер, и, если это не так, повторите сканирование.
Также проверьте эти уязвимости на главном сервере (и, если они действительно действительны, попросите ответственные стороны исправить их). Это относительно серьезные проблемы, и хотя они могут (и на самом деле по стандартам PCI должен) быть разделением между оборудованием для обработки данных о держателях карт и другими вашими сайтами, вы продолжите поднимать тревожные флажки в ходе аудита, если не решите их.
(Если ваш основной сайт находится у провайдера виртуального хостинга, который выполняет все эти функции, вы можете подумать о переносе его на выделенный сервер или VPS для вашего собственного спокойствия.)