Forum Webscript.Ru

Общие => Веб-технологии => Тема начата: ice_nugget от 30 Марта 2004, 11:57:31

Название: achtung! хак однако.
Отправлено: ice_nugget от 30 Марта 2004, 11:57:31: товарищи и господа, ежели кто знает о том как лечится взлом который заменяет index файлы на страничку с текстом: «Onwz you >......................Fatal Error» то please подскажите, т.к. очень срочно надо. :mad:
Название: achtung! хак однако.
Отправлено: AliMamed от 30 Марта 2004, 14:19:37: это что шутка?
Название: achtung! хак однако.
Отправлено: ice_nugget от 30 Марта 2004, 14:22:20: это не шутка, я в этих вопросах не спец но мне необходимо найти инфу любую о том как защитить IIS от так называемого deface hack...
Название: achtung! хак однако.
Отправлено: AliMamed от 30 Марта 2004, 14:27:21: какая версия IIS? вообще для начала удостоверься что поставлены все сервиспаки, хотфиксы и критикал апдейтс для этой версии
Название: achtung! хак однако.
Отправлено: AliMamed от 30 Марта 2004, 14:27:45: при чем естественно для операционки в целом тоже
Название: achtung! хак однако.
Отправлено: ice_nugget от 30 Марта 2004, 14:39:19: IIS 5, все что можно было сделать через windows update сделано, сейчас ищу отдельны патчи..
Название: achtung! хак однако.
Отправлено: NAS от 30 Марта 2004, 15:04:25: Цитировать
ice_nugget:
IIS 5, все что можно было сделать через windows update сделано, сейчас ищу отдельны патчи..

До хака или после ?
Название: achtung! хак однако.
Отправлено: ice_nugget от 30 Марта 2004, 15:07:04: NAS
до того как взломали все было updated.
Название: achtung! хак однако.
Отправлено: ThE0ReTiC от 30 Марта 2004, 15:37:57: 1. Дырки в ИИСе
2. Дырки в системе
3. Дырки в голове админа
4. Дырки в голове разработчиков сайта (не обязательно сломанного)

проверять по списку
Название: achtung! хак однако.
Отправлено: ice_nugget от 30 Марта 2004, 16:44:23: admin у нас не super очевидно, я ему помочь хочу, если кто знает про этот взлом pls. поделитесь (это естественно исключительно в целях защиты).

Цитировать
ThE0ReTiC:
Дырки в голове разработчиков сайта (не обязательно сломанного)

в данном случае разработчик сайта это я :), но думается что если кто то получил root на сервере то я уже сделать ничего не могу..
Название: achtung! хак однако.
Отправлено: NeoNox от 30 Марта 2004, 17:05:59: Вообще то первым делом отключить машину от интернета и смотреть логи до выяснения возможного сценария атаки.
Вторым делом забить на IIS и винду и поселиться на нормальной серверной системе с апачем.
Третим делом, если первые два не увенчались успехом, просмотреть сервер на открытые порты и позакрывать все нафиг (в том числе и фтп) кроме 80.
Название: achtung! хак однако.
Отправлено: Yukko от 30 Марта 2004, 18:11:46: NeoNox
ну не надо так безоговорочно
Цитировать
NeoNox:
и поселиться на нормальной серверной системе с апачем.

тем более что человек на .NET пишет.
Название: achtung! хак однако.
Отправлено: Yukko от 30 Марта 2004, 18:21:19: http://www.microsoft.com/technet/security/prodtech/win2003/w2003hg/sgch08.mspx почитай, может для себя чего найдешь... там, правда, про iis 6
Название: achtung! хак однако.
Отправлено: ice_nugget от 30 Марта 2004, 18:22:47: NeoNox
на сервере сидят клиенты :( логи смотрим сейчас, всего открыто 3 порта..80, 25, 110

Цитировать
Yukko:
тем более что человек на .NET пишет

учится писать было бы правильне ;)
Название: achtung! хак однако.
Отправлено: NeoNox от 31 Марта 2004, 11:40:38: Цитировать
Yukko:
ну не надо так безоговорочно

важны данные и надежность или то что .NET это круто звучит?
Цитировать
ice_nugget:
всего открыто 3 порта..80, 25, 110

ой-ли, (кстати а что у вас за смтп демон?) а если так то смотрите в securityfocus на предмет критических ошибок в софте который используется на сервере. В том числе и прогон скриптов с меченными данными. другого посоветовать пока не могу.