Я помогаю небольшой хостинг-компании. У них есть серверы, предлагающие .NET-хостинг с Windows и IIS. Для управления клиентами, создания доменов и подобных вещей они используют Paralells Plesk, который хорошо работает.
Кажется, что в процессе генерации статистики Perl.exe используется для анализа файлов журналов IIS. Сегодня мы обнаружили, что некоторые пользователи заражены системой DOS под названием Gootkit. В папке cgi-bin находится множество вредоносных скриптов. Я точно не знаю, как, но они каким-то образом вызываются (и выполняются через Perl с его пользователем IUSR).
Мы изолировали эти сценарии, и к настоящему времени проблема решена. Мы также добавили ложный маршрут в Windows к IP-адресу назначения атаки, чтобы предотвратить вывод трафика.
Помимо этих конкретных реактивных действий, мне было интересно: каков правильный контрольный список, которому вы должны следовать, чтобы предотвратить эти проблемы в первую очередь? В настоящее время брандмауэр Windows активен и работает, установлен Kaspersky AV и установлен аппаратный брандмауэр. Однако простая загрузка и вызов этих сценариев заставила сетевой интерфейс работать на 100%, затрагивая все машины центра обработки данных.
Как мы можем лучше защитить наши серверы?
Один из наших клиентов пострадал аналогичным образом, файлы были загружены через POST-запросы на URI / plesk / client @ {номер клиента} / domain @ {номер домена} / hosting / file-manager / create-file
Я считаю, что они вызываются веб-запросом, который обычно включает цель и тип атаки (SYN-флуд и т. Д.).
Чтобы это не повторилось, убедитесь, что вы используете самую последнюю версию Plesk, убедитесь, что все пароли надежны и, что наиболее важно, убедитесь, что на этом сервере нет уязвимостей SQLi. Plesk хранит пароли пользователей в виде открытого текста, поэтому, если злоумышленник может запустить произвольный SQL, он может получить его, войти в систему и загрузить файлы.