Что может быть причиной следующего взлома?
Информация о сервере:
Windows XP
Пакет обновления 2
Microsoft-IIS / 6.0
Вообще говоря, сервер находится вне моего контроля (на данный момент.) Я могу запросить исправления, которые отсутствуют, но не могут изменить версию Windows или версию IIS.
Взломать информацию:
Следующее, но HTML добавлено в наши файлы aspx, прямо под тегом. Это означает, что они имеют как минимум доступ на чтение / запись к нашим файлам. Это также означает, что страница не пуста, поскольку у них есть дополнительные <div> тег, который не закрывается. Я должен отметить, что на некоторых страницах лишнее, нераскрытое, <div> там нет, поэтому страница продолжает загружаться просто отлично.
<script language="javascript" type="text/javascript">
document.write("<div style='display:none;'>");
</script><div> <a href="http://www.wowgoldlife.com/">wow gold</a>
<a href="http://www.guidespower.com/">runescape gold</a>
<a href="http://www.riftstore.com/">rift gold</a>
<a href="http://www.riftgoldsale.com/">rift platinum</a>
<a href="http://www.mywowgoldsite.com/">buy wow gold</a>
<a href="http://www.wowgoldsonline.com/">cheap wow gold</a>
<a href="http://www.mmogoldsonsale.com/">world of warcraft gold</a>
<a href="http://www.rsgpstore.com/">rs gold</a>
<a href="http://www.rsgoldlife.com/">buy runescape gold</a>
<script language="javascript" type="text/javascript">
document.write("</div>");
</script>
Вопросы:
- Каковы возможные точки входа для этого хака?
- Учитывая мои ограничения выше, как я могу предотвратить это в будущем?
Обновить
Похоже, IIS6 на XP вызвал некоторые комментарии. Из того, что я могу сказать, я запускаю IIS6 на WindowsXP... Этот код говорит мне, что я нахожусь на XP, а Request.ServerVariables["SERVER_SOFTWARE"] говорит мне, что я на IIS6.
3 ответа
У нас нет никакой возможности сказать вам, что "может быть причиной следующего взлома". Тот факт, что вы пользуетесь общедоступным веб-сайтом в Windows XP, говорит мне о том, что вы или ваши компании способны решить эту проблему.
- Кто бы это ни создал, он не знает, что делает.
Что приводит меня к остальной части моего заключения.
- Пожалуйста, наймите подходящих консультантов, которые помогут вам настроить и поддерживать общедоступный веб-сайт.
Проблемы с этой конкретной установкой, в сочетании с тем фактом, что вы упустили кучу информации, почти не могут помочь вам с этой проблемой. Несмотря на это, это может быть буквально все, что вызвало этот конкретный взлом, от xss до неустановленной установки Windows XP.
Вам нужно перевести это приложение в автономный режим.
Прямо сейчас
... и держите его в автономном режиме до тех пор, пока вы не получите сервер "под контролем". Если не ваш, кто-то, кто знает, как администрировать сервер.
Если информация добавляется в ваш исходный код таким образом, ваш сервер мы называем "pwned". Эта коробка больше не твоя. Там, вероятно, происходит больше, о чем ты даже не знаешь. Скорее всего, существует либо широко открытая учетная запись FTP, либо есть какая-то дыра в приложении, которая разоблачает источник сайта как для чтения, так и для записи.
Вы не даете достаточно информации, чтобы сказать что-то большее. Как минимум, я бы отключил сетевой кабель этой системы, пока вы не узнаете, что происходит.
Ох... и IIS5.1 - это то, что было бы на XP. И XP не следует использовать в качестве общедоступного веб-сервера, но это всего лишь "второй шарик воска"...
Я предполагаю, что это, скорее всего, атака SQL-инъекцией на ваше приложение. Код динамически генерируется базой данных?
Аудит доступа к файлу, чтобы проверить, какая учетная запись вносит изменения.
И, как уже говорили другие, отключите сервер. Windows XP никогда не должна запускать веб-сайт вне разработки.