Подтвердить что ты не робот

Как я могу узнать * КАК * Мой сайт взломан? Как найти уязвимости сайта?

Один из моих разработанных нами ASP.NET сайтов был взломан сегодня: "Hacked By Swan (" Остановите войны!..") Он использует серверы ASP.NET и SQL Server 2005 и IIS 6.0 и Windows 2003. Я не использую Ajax, и я думаю, что использую хранимые процедуры везде, где я подключаюсь к базе данных, поэтому я не думаю, что это SQL injection. Теперь я удалил права на запись в папках.

Как я могу узнать, что они сделали, чтобы взломать сайт и что делать, чтобы это не повторилось?

Сервер обновляется со всеми обновлениями Windows.

Что они сделали, это загрузить 6 файлов (index.asp, index.html, index.htm,...) в основной каталог для веб-сайта.

Какие файлы журналов я должен загрузить? У меня есть файлы журналов для IIS из этой папки: c:\winnt\system32\LogFiles\W3SVC1. Я готов показать это некоторым из вас, но не думаю, что это хорошо для публикации в Интернете. Любой, кто хочет взглянуть на него?

Я уже искал в Google, но единственное, что я нахожу, это другие сайты, которые были взломаны - я не видел никаких обсуждений.

Я знаю, что это не связано с программированием, но это все еще важно для программистов, и многие программисты были взломаны вот так.

4b9b3361

ОТВЕТЫ

Ответ 1

Похоже, что атака на ваш сайт была частью массового поражения, проведенного SWAN 21 ноября 2008 г. против окон Windows 2003 и Windows 2000, работающих под управлением IIS 6.0. Другие здесь предложили несколько вещей. Я бы добавил, что всякий раз, когда вы решите открыть сайт, пожалуйста, отформатируйте поле и переустановите его с нуля. Как только ящик скомпрометирован, его нельзя доверять, но вы очищаете и очищаете его.

Ответ 2

Процесс IIS

Убедитесь, что ваш процесс ASPNET не имеет права записывать файлы на сервере. Если вам нужен процесс для разрешения на запись, разрешите им делать это только в определенной папке и запретите выполнять разрешения для этой папки для всех пользовательских адаптеров.

SQL Injection

Чтобы увидеть, как люди, ищущие SQL vunrabilities, просматривают ваши файлы журналов для следующего текста: "CAST (".

Есть ли у вас места, где вы создаете SQL в коде для запроса базы данных? Они могут быть подвержены атакам SQL-инъекций. При замене кода, такого как следующее, вы будете более безопасными.

Dim strSQL As String = "Select * FROM USERS Where name = '" & Response.Querystring("name") "'"

тогда рассмотрим альтернативу, как показано ниже.

Dim strSQL As String = "Select * FROM USERS Where name = @name"

а затем добавив соответствующий SQL-паттерметр в команду sql.

Ответ 3

Ну, для стартеров:

  • Запланировали ли вы свой сервер?
  • Есть ли у вас затяжные остатки таких вещей, как FrontPage Server Extensions, расширения Office для Интернета и т.д.
  • Вы уверены, что у вас нет уязвимостей SQL Injection?
  • У вас есть googled для этого текста, "взломанный лебедем"? Есть много хитов, возможно, один из них выяснил свой вход.

Если у вас есть или вы не уверены в том, есть ли у вас проблемы с SQL-инъекцией или нет, вы можете спросить здесь, но в противном случае я бы попросил вас помочь специалистам по безопасности.

Это действительно сайт программирования, поэтому, если ваша проблема не связана с программированием, она скорее всего будет закрыта снова.

Ответ 4

Надеюсь, вы включили лог файлы IIS и, надеюсь, хакер не удалил их. По умолчанию они расположены здесь: c:\winnt\system32\LogFiles\W3SVC1 и, как правило, будут названы после даты.

Тогда, вероятно, полезно выяснить, как использовать парсер журнала (из Microsoft), который является бесплатным. Затем используйте это руководство, чтобы помочь вам смотреть на ваши лог файлы. У вас есть брандмауэр, потому что могут быть полезны syslogs.

Еще один достойный инструмент, который поможет вам найти проблемы с встраиванием sql, - это здесь и скачайте HP Scrawlr.

Если у вас есть еще вопросы о том, что вы нашли, вернитесь и спросите.

Ответ 5

Вы можете попробовать попробовать с помощью инструментария для проникновения, такого как Metasploit, чтобы обнаружить любые очевидные отверстия.

Кроме того, разместите свои файлы журналов, если они не загружены.

Ответ 6

Первое, что вам нужно сделать, это проверить файлы журналов. Вы можете вставить их здесь, и мы скажем вам, признаем ли мы атаку.

Ответ 7

Настройте Google Analytics и просмотрите все запросы, которые были сделаны на ваш сайт. Если вы используете SQL-инъекцию через строку запроса, вы легко узнаете, что они сделали, и как они обнаружили ваши уязвимости.

Ответ 8

Включен ли FTP?

У меня когда-то был клиент, который по какой-то причине отключил их FTP, и хакер просто установил запуск бота, пробуя случайные/общие комбинации пользователей и паролей. Этот хак был хуже вашего, потому что он не показывался на веб-страницах, но пытался установить ActiveX...

Итак, вы можете проверить свой FTP-журнал.