Информация о сервере:
Windows XP
Пакет обновления 2
Microsoft-IIS / 6.0
Вообще говоря, сервер находится вне моего счетчика (на данный момент). Я могу запросить исправления, которые отсутствуют, но не могу изменить версию Windows или версию IIS.
Информация о взломе:
Следующий код HTML добавляется в наши файлы aspx прямо под тегом. Это означает, что у них есть минимальный доступ для чтения / записи к нашим файлам. Это также означает, что страница не пустая, поскольку у них есть лишние <div>
тег, который не закрывается. Замечу, что на некоторых страницах лишние, незакрытые, <div>
отсутствует, поэтому страница продолжает загружаться нормально.
<script language="javascript" type="text/javascript">
document.write("<div style='display:none;'>");
</script><div> <a href="http://www.wowgoldlife.com/">wow gold</a>
<a href="http://www.guidespower.com/">runescape gold</a>
<a href="http://www.riftstore.com/">rift gold</a>
<a href="http://www.riftgoldsale.com/">rift platinum</a>
<a href="http://www.mywowgoldsite.com/">buy wow gold</a>
<a href="http://www.wowgoldsonline.com/">cheap wow gold</a>
<a href="http://www.mmogoldsonsale.com/">world of warcraft gold</a>
<a href="http://www.rsgpstore.com/">rs gold</a>
<a href="http://www.rsgoldlife.com/">buy runescape gold</a>
<script language="javascript" type="text/javascript">
document.write("</div>");
</script>
Вопросы:
Обновить
Похоже, что IIS6 на XP вызвал некоторые комментарии. Насколько я могу судить, я запускаю IIS6 на WindowsXP ... это код сообщает мне, что я использую XP, а Request.ServerVariables ["SERVER_SOFTWARE"] сообщает мне, что я использую IIS6.
У нас нет возможности сказать вам, что «может быть причиной следующего взлома». Тот факт, что у вас есть общедоступный веб-сайт под Windows XP, кое-что говорит мне о ваших способностях или способностях вашей компании решать эту проблему.
Это подводит меня к остальному выводу.
Проблемы с этой конкретной настройкой в сочетании с тем фактом, что вы упустили тонну информации, делают практически невозможным помочь вам с этой проблемой. Тем не менее, это могло быть буквально что-нибудь который вызвал этот конкретный взлом, от xss до установки Windows XP без исправлений.
Я предполагаю, что это, скорее всего, атака с использованием SQL-инъекции на ваше приложение. Генерируется ли код динамически в базе данных?
Проверьте доступ к файлу, чтобы проверить, в какой учетной записи вносятся изменения.
И, как говорили другие, отключите сервер. Windows XP никогда не должна запускать веб-сайт вне стадии разработки.
Вам нужно отключить это приложение.
Сейчас
... и держите его в автономном режиме, пока вы не получите сервер "под контролем". Если не ваш, то тот, кто хоть немного знает, как администрировать сервер.
Если информация добавляется в ваш исходный код таким образом, ваш сервер - это то, что мы называем «pwned». Этот ящик больше не твой. Вероятно, происходит нечто большее, о чем вы даже не подозреваете. Скорее всего, это либо широко открытая учетная запись FTP, либо какая-то дыра в приложении, которая открывает источник сайта как для чтения, так и для записи.
Вы не даете достаточно информации, чтобы сказать больше. Как минимум, я бы отключил сетевой кабель от этой системы, пока вы не выясните, что происходит.
Ох ... и IIS5.1 - это то, что было бы на XP. И XP должна не использоваться в качестве общедоступного веб-сервера, но это еще не тот восковой шар ...