Назад | Перейти на главную страницу

Что может быть причиной следующего взлома?

Информация о сервере:

Windows XP

Пакет обновления 2

Microsoft-IIS / 6.0

Вообще говоря, сервер находится вне моего счетчика (на данный момент). Я могу запросить исправления, которые отсутствуют, но не могу изменить версию Windows или версию IIS.

Информация о взломе:

Следующий код HTML добавляется в наши файлы aspx прямо под тегом. Это означает, что у них есть минимальный доступ для чтения / записи к нашим файлам. Это также означает, что страница не пустая, поскольку у них есть лишние <div> тег, который не закрывается. Замечу, что на некоторых страницах лишние, незакрытые, <div> отсутствует, поэтому страница продолжает загружаться нормально.

<script language="javascript" type="text/javascript">
document.write("<div style='display:none;'>");
</script><div> <a href="http://www.wowgoldlife.com/">wow gold</a> 
<a href="http://www.guidespower.com/">runescape gold</a> 
<a href="http://www.riftstore.com/">rift gold</a> 
<a href="http://www.riftgoldsale.com/">rift platinum</a>
<a href="http://www.mywowgoldsite.com/">buy wow gold</a> 
<a href="http://www.wowgoldsonline.com/">cheap wow gold</a> 
<a href="http://www.mmogoldsonsale.com/">world of warcraft gold</a> 
<a href="http://www.rsgpstore.com/">rs gold</a>
<a href="http://www.rsgoldlife.com/">buy runescape gold</a>
<script language="javascript" type="text/javascript">
document.write("</div>");
</script>

Вопросы:

  1. Каковы возможные точки входа для этого взлома?
  2. Учитывая мои ограничения, указанные выше, как я могу предотвратить это в будущем?

Обновить

Похоже, что IIS6 на XP вызвал некоторые комментарии. Насколько я могу судить, я запускаю IIS6 на WindowsXP ... это код сообщает мне, что я использую XP, а Request.ServerVariables ["SERVER_SOFTWARE"] сообщает мне, что я использую IIS6.

У нас нет возможности сказать вам, что «может быть причиной следующего взлома». Тот факт, что у вас есть общедоступный веб-сайт под Windows XP, кое-что говорит мне о ваших способностях или способностях вашей компании решать эту проблему.

  1. Кто бы это ни установил, не знает, что делает.

Это подводит меня к остальному выводу.

  • Пожалуйста, наймите подходящих консультантов, которые помогут вам настроить и поддерживать общедоступный веб-сайт.

Проблемы с этой конкретной настройкой в ​​сочетании с тем фактом, что вы упустили тонну информации, делают практически невозможным помочь вам с этой проблемой. Тем не менее, это могло быть буквально что-нибудь который вызвал этот конкретный взлом, от xss до установки Windows XP без исправлений.

Я предполагаю, что это, скорее всего, атака с использованием SQL-инъекции на ваше приложение. Генерируется ли код динамически в базе данных?

Проверьте доступ к файлу, чтобы проверить, в какой учетной записи вносятся изменения.

И, как говорили другие, отключите сервер. Windows XP никогда не должна запускать веб-сайт вне стадии разработки.

Вам нужно отключить это приложение.

Сейчас

... и держите его в автономном режиме, пока вы не получите сервер "под контролем". Если не ваш, то тот, кто хоть немного знает, как администрировать сервер.

Если информация добавляется в ваш исходный код таким образом, ваш сервер - это то, что мы называем «pwned». Этот ящик больше не твой. Вероятно, происходит нечто большее, о чем вы даже не подозреваете. Скорее всего, это либо широко открытая учетная запись FTP, либо какая-то дыра в приложении, которая открывает источник сайта как для чтения, так и для записи.

Вы не даете достаточно информации, чтобы сказать больше. Как минимум, я бы отключил сетевой кабель от этой системы, пока вы не выясните, что происходит.


Ох ... и IIS5.1 - это то, что было бы на XP. И XP должна не использоваться в качестве общедоступного веб-сервера, но это еще не тот восковой шар ...