linuXploit_crew 访问了我的网络服务器

Question

我们运行一台旧的 Windows NT 机器，打完补丁后运行 IIS4.0。

今天我们受到了“linuXploit_crew”的攻击，他们关闭了我们的网站一两分钟。 （幸运的是，我们很快注意到网站上的变化，并在攻击发生后几分钟内修复了它）。

然而，在修复网站后，我不得不尝试找出如何发生这种情况。

查看我们的 FTP 日志，我们的 default.asp 文件没有任何变化，并且我在 Web 日志中没有看到任何异常。 关于如何查明他们是如何进入的有什么想法吗？ 我们在 Cisco 防火墙上只开放了 3 个端口：FTP、HTTP 和 HTTPS (21,80,443)。

Answer 1

NT/IIS4 不再获得安全更新。 任何新漏洞将保持未修补状态。 是时候升级了。

一旦您“拥有”足够的权限来更改您的网站，您就不一定再信任您的日志 - 它们可能已被攻击者“清除”。

Answer 2

IIS 7 + .NET 3.5 SP1 应该是一个不错的升级:)

Answer 3

他们似乎正在使用某种形式的注入攻击：请参阅 http: //msdn.microsoft.com/en-us/library/bb355989.aspx?ppud=4

Answer 4

仅通过端口 80 就可能发生多种攻击。您在服务器上运行哪些应用程序？ asp 和 php 安全漏洞的数量比操作系统/服务器应用程序漏洞的数量要高得多。

Answer 5

远离 Windows NT 类系统。 IIS 7在安全性方面可能还可以，但价格不达标。 请使用 BSD 或带有 Apache 的 Linux。 如果是 Linux，则为 Centos；如果是 BSD，则为 OpenBSD 我的建议。