Автор Тема: achtung! хак однако. (Прочитано 4786 раз)

ice_nugget · « : 30 Марта 2004, 11:57:31 »

товарищи и господа, ежели кто знает о том как лечится взлом который заменяет index файлы на страничку с текстом: «Onwz you >......................Fatal Error» то please подскажите, т.к. очень срочно надо. :mad:

AliMamed · « **Ответ #1 :** 30 Марта 2004, 14:19:37 »

это что шутка?

ice_nugget · « **Ответ #2 :** 30 Марта 2004, 14:22:20 »

это не шутка, я в этих вопросах не спец но мне необходимо найти инфу любую о том как защитить IIS от так называемого deface hack...

AliMamed · « **Ответ #3 :** 30 Марта 2004, 14:27:21 »

какая версия IIS? вообще для начала удостоверься что поставлены все сервиспаки, хотфиксы и критикал апдейтс для этой версии

AliMamed · « **Ответ #4 :** 30 Марта 2004, 14:27:45 »

при чем естественно для операционки в целом тоже

ice_nugget · « **Ответ #5 :** 30 Марта 2004, 14:39:19 »

IIS 5, все что можно было сделать через windows update сделано, сейчас ищу отдельны патчи..

NAS · « **Ответ #6 :** 30 Марта 2004, 15:04:25 »

Цитировать

ice_nugget:
IIS 5, все что можно было сделать через windows update сделано, сейчас ищу отдельны патчи..

До хака или после ?

ice_nugget · « **Ответ #7 :** 30 Марта 2004, 15:07:04 »

NAS
до того как взломали все было updated.

ThE0ReTiC · « **Ответ #8 :** 30 Марта 2004, 15:37:57 »

1. Дырки в ИИСе
2. Дырки в системе
3. Дырки в голове админа
4. Дырки в голове разработчиков сайта (не обязательно сломанного)

проверять по списку

ice_nugget · « **Ответ #9 :** 30 Марта 2004, 16:44:23 »

admin у нас не super очевидно, я ему помочь хочу, если кто знает про этот взлом pls. поделитесь (это естественно исключительно в целях защиты).

Цитировать

ThE0ReTiC:
Дырки в голове разработчиков сайта (не обязательно сломанного)

в данном случае разработчик сайта это я

, но думается что если кто то получил root на сервере то я уже сделать ничего не могу..

NeoNox · « **Ответ #10 :** 30 Марта 2004, 17:05:59 »

Вообще то первым делом отключить машину от интернета и смотреть логи до выяснения возможного сценария атаки.
Вторым делом забить на IIS и винду и поселиться на нормальной серверной системе с апачем.
Третим делом, если первые два не увенчались успехом, просмотреть сервер на открытые порты и позакрывать все нафиг (в том числе и фтп) кроме 80.

Yukko · « **Ответ #11 :** 30 Марта 2004, 18:11:46 »

NeoNox
ну не надо так безоговорочно

Цитировать

NeoNox:
и поселиться на нормальной серверной системе с апачем.

тем более что человек на .NET пишет.

Yukko · « **Ответ #12 :** 30 Марта 2004, 18:21:19 »

http://www.microsoft.com/technet/security/prodtech/win2003/w2003hg/sgch08.mspx почитай, может для себя чего найдешь... там, правда, про iis 6

ice_nugget · « **Ответ #13 :** 30 Марта 2004, 18:22:47 »

NeoNox
на сервере сидят клиенты

логи смотрим сейчас, всего открыто 3 порта..80, 25, 110

Цитировать

Yukko:
тем более что человек на .NET пишет

учится писать было бы правильне

NeoNox · « **Ответ #14 :** 31 Марта 2004, 11:40:38 »

Цитировать

Yukko:
ну не надо так безоговорочно

важны данные и надежность или то что .NET это круто звучит?

Цитировать

ice_nugget:
всего открыто 3 порта..80, 25, 110

ой-ли, (кстати а что у вас за смтп демон?) а если так то смотрите в securityfocus на предмет критических ошибок в софте который используется на сервере. В том числе и прогон скриптов с меченными данными. другого посоветовать пока не могу.

Новости:

Автор Тема: achtung! хак однако. (Прочитано 4786 раз)