אהלן

ברשתוי שרת windows 2003 שמורץ עליו IIS ומאוחסנים עליו אתרי אינטרנט. בשבוע האחרון במסגרת התקפות ההאקרים הם הצליחו לשתול לי שם שני סוגי קבצים :
1) קבצים עם סיומת HTML שהכילו תעמולה
2) קבצי קוד שמאפשר לקבל מידע על השרת ASP/ASPX כשאלה נשמרו עם בפורמט x;asp.jpg

הקבצים נשמרו רק בספריות שיש להם הרשאות כתיבה (ספריות דטה בייס וספריות להעלאת תמונות של גולשי האתר) בספריות אלה כמובן חסמתי אפשרות להרצת קוד וממילא הם לא הצליחו לגשת לקבצים שהם העלו דרך גלישה לינק באתר

ניהול ההרשאות לספריות עם הרשאת הכתיבה הוא שיוזר הדיפולטי של IIS יש הרשאת קריאה/כתיבה ושינוי
שירות WEBDAV הוא DISABLE

מה שמשגע אותי הוא איך הם הצליחו לכתוב לתוך הספריות האלה (למרות שלא הצליחו לגרום את נזק רק כאב ראש ל מחיקת הקבצים)

אודה על רעיונות

ציטוט:

במקור נכתב על ידי mediali מה שמשגע אותי הוא איך הם הצליחו לכתוב לתוך הספריות האלה (למרות שלא הצליחו לגרום את נזק רק כאב ראש ל מחיקת הקבצים) אודה על רעיונות

אני לא בטוח שהבנתי את השאלה. הרי כתבת:

ציטוט:

במקור נכתב על ידי mediali הקבצים נשמרו רק בספריות שיש להם הרשאות כתיבה (ספריות דטה בייס וספריות להעלאת תמונות של גולשי האתר) בספריות אלה כמובן חסמתי אפשרות להרצת קוד וממילא הם לא הצליחו לגשת לקבצים שהם העלו דרך גלישה לינק באתר

אתה אומר שיש שם הרשאות כתיבה. אז ככה הם הצליחו...
חוץ מה, למה שלספריית ה-DB יהיו הרשאות כתיבה?

(קרדיט למרשי)
אמר לה ינאי מלכא לדביתיה אל תתיראי מן הפרושין ולא ממי שאינן פרושין אלא מן הצבועין שדומין לפרושין שמעשיהן כמעשה זמרי ומבקשין שכר כפנחס
אמר פסטן: שניהם גרועים, אבל עדיף להיות טיפש מאשר שקרן.

ציטוט:

במקור נכתב על ידי פסטן אני לא בטוח שהבנתי את השאלה. הרי כתבת: אתה אומר שיש שם הרשאות כתיבה. אז ככה הם הצליחו... חוץ מה, למה שלספריית ה-DB יהיו הרשאות כתיבה?

ליוזר הדיפולטי של ה-IIS (זה היוזר שלמעשה רץ על השרת כשאתה פותח דפדפן ומבקש לקבל את הדפים על השרת) יש הרשאת כתיבה - אני לא מבין איך הם מתחזים אליו .
לספריית הDB יש הרשאת כתיבה כדי שיהיה אפשר לעדכן נתונים בקבצי אקסס / MDF יש דרך אחרת ?

תודה

טוב, כתבת שזה בתיקיה של העלאת קבצים, אז אולי הם פשוט העלו קובץ?

לגבי ספריית ה-DB.
לא התעסקתי בזה בשנים האחרונות, אבל נשמע לי לגרום לכך שהיוזר של SQL SERVER או מה-שזה-לא-יהיה יהיה בעל יכולת גישה לתיקיה הזו, וה-ASP ייגש דרכו.

בנוסף, נשמע שמספיק הרשאות כתיבה לקובץ, ואין צורך בהרשאות כתיבה לספריה...
(אא"כ יש לך משום מה מסד נתונים שיוצר קבצים באופן סיטוני בזמן שהוא עובד.)

(קרדיט למרשי)
אמר לה ינאי מלכא לדביתיה אל תתיראי מן הפרושין ולא ממי שאינן פרושין אלא מן הצבועין שדומין לפרושין שמעשיהן כמעשה זמרי ומבקשין שכר כפנחס
אמר פסטן: שניהם גרועים, אבל עדיף להיות טיפש מאשר שקרן.

ציטוט:

במקור נכתב על ידי פסטן טוב, כתבת שזה בתיקיה של העלאת קבצים, אז אולי הם פשוט העלו קובץ? .)

זה בלתי אפשרי לזהות בכל האתרים את היסמא לממשק ניהול והעלות את הקבצים - זה איזה קוד שרץ ועשה את העבודה

עוד רעיונות ?

היי,
לדעתי הבעיה מתחילה בניהול המערכת, ולא רק בבעיה הקונקרטית.
הבעיה שאתה מתאר יכולה לנבוע מעשרות גורמים כדוגמת: חורים במערכת ההפעלה \בשרת מסד הנתונים שלא טופלו, באג ברמת קוד, הגדרות שגויות ועוד.
אם אתה מחפש פיתרון אמיתי, תתכננו לעבור לסביבה עם מערכת הפעלה עדכנית יותר, ותגדירו קבלת עדכונים למערכת ההפעלה + מסד הנתונים באופן קבע.
כמו כן, רצוי להעביר את קוד הפיתוח ליועץ אבטחת מידע אלפלקטיבי, על מנת לוודא כי הקוד אכן מספק רמת אבטחה סבירה.
מעבר לזה, יש לחסום גישה לשירותים ניהוליים וכדומה מבחוץ, מה שגם רצוי שהגישה ל SQL תעשה ע"י stored procedure בלבד.
כמובן שהכל על קצה המזלג, וישנם עוד דרכים נוספות שכדאי לשקול ולישם, ואת חלקם תוכל לקרוא במאתר האינטרנט של חברת מיקרוסופט וכדומה.
אם המידע בשרת הנ"ל רגיש, מומלץ גם לשקול יישום WAF ע"י |F5 BIG-IP® Application Security Manager / Imperva SecureSphere Web Application Firewall

בהצלחה

חתימתכם הוסרה כיוון שלא עמדה בחוקי האתר. לפרטים נוספים לחצו כאן. תוכלו לקבל עזרה להתאמת החתימה לחוקים בפורום חתימות וצלמיות.