26. marts 2005 - 19:26Der er
11 kommentarer og 3 løsninger
hvem og hvad hacker mig, hvordan slipper jeg??
jeg har en lille server med et par mindre betydende sider kørende. jeg bliver med jævne mellemrum hacket, og ville gerne finde svaret på hvad jeg gør galt. for tiden kommer der nogle txt filer med mailadresser og et lille program ind. andre gange er det bare index.php der bliver overskrevet. jeg kører nyeste MySql, IIS, på wn win 2000 server med alle opdateringer
VEd et meget hurtigt gennemsyn kunne det se ud som om hackeren udnytter en sårbarhed i frontpage server extentions for at uploade disse filer
du bør kontrollere om alle systemer er updateret og patched, herunder:
Styresystem (windows update) IIS MYSql Frontpage server extentions Outlook Web access Officepakke Alle andre programmer der måtte være installeret på maskinen
Prøv derefter at downloade og køre IIS lockdown tool fra www.microsoft.com prøv også at scanne med Microsoft baseline analyser
E.v.t en sårbarhedsanalyse med Nessus hvis du har mulighed for atgennemføre en sådan
Du kunne selvfølgelig også sætte en firewall i drift, hvor du udelukker de IP adresser der forekommer. Dette vil kun filtrere noget fra da man ret let kan få en ny IP adresse. Du vil dog med lidt omtanke kunne gøre det en del svære at ligge noget op.
Overvej også at fjerne frontpage server extentions, eller begrænds deres brug til validerede brugere
Øhh, kørte både en IIS Lockdown... nu kører det ikke helt.
ved fx en login på website vi indbygget login (mambo) kommer der en http 404 frem, det samme sker ved alle andre formularer og lign.. aaargh hvad er nu det?
jeg er ved at have styr på IIS lockdown, men det ser ud til at den strammer så meget op at cms siderne får problemer med nogle af funktionerne. jeg er ikke klar over om det er de nye rettigheder for den anonyme web user til mapperne. eller noget med scripts. nogen hjælp?
IIS lockdown håndtere slet ikke selve web delen, og jeg tror heller ikke at det er den vej de er kommet ind. Det er klart at du også skal have strammet op på selve koderne og helt afhængig af hvilket cms system du anvender kan der også være kommet patches til det..
I første omgang ville jeg koncventrere mig om systemerne, patching og opsætning. Når det er i orden ville jeg kikke
jeg ved med sikkerhed at selve win 2000 serveren er helt opdateret, det samme med sql 4.1 eren og php. cms systemerne er henholdsvis mambo og e-107 som begge er patched.
når jeg kigger på loggen ligner det (for mig) at de overfører en række txt dokumenter og en exe fil. 10.000 kroner spørgsmålet for for mig er hvordan de gør? er det noget med DAV eller PROPFIND, og hvad er det.
jeg ved også at det standser når jeg ikke giver WRITE rettighedder til Iuser på serveren, men så virker portalerne ikke mere.
PROPFIND og DAV hinter til WebDav som er en del af IIS og frontpage server extentions. Det at du har fjernet disse server extentions skulle klare problemet. prøv at se hvad der sker og vend tilbage med det samme der sker noget. Du vil sikkert kunne se forsøgene i din log. og kommer de ikke ind så er du dermed sikret
jeg har nu kørt de lockdowns som jeg kunne uden at nødvendige ting blev stoppet. i første linje kan man se at lovlig trafik (mig selv) blev standset når urlscan var aktiv, den er nu slået fra, men kan man ændre på dens opsætning?. jeg går ud fra det er et godt værktøj at have kørende.
i de næste linjer kan man se at samme hacker prøver igen, men jeg kan ikke se på filen om han kommer ind (hvad betyder 404 og 405) (der er ingen filer på serveren, som før).
det er mit indtryk at hackeren bliver bremset og vi er tæt på et svar :-)
jeg er heller ikke klar over om han har adgang til /_vti_bin/shtml.exe/_vti_rpc osv. jeg mener det er virtuelle biblioteker på default websted, men ikke sikker
URL scanneren er meget værsntlig, det er den der fanger de fleste af disse angrab, der jo gennemføres ved at sende en craftet url forespørgsel til din web server.
404.htm er den "side" du får op nor du forespørger en side der ikke findes på web serveren og 205 er noget af detsamme. Dette betyder at hackeren ikke har success.
Mht /_vti_bin/shtml.exe/_vti_rpc osv. er jeg ikke helt sikker på at den "kun" er virtuel.
Du bør nu gøre følgende:
Find ud af hvorfor urlscanneren standser din lovlige trafik, og ændre e.v.t. dine url'er m.m. så din lovlige trafik for lov til at passere og du kan kører med ursscanneren slået til.
Hold øje med updates og patches
Overvej en firewall, gerne en ordentlig bastions firewall der er application aware. F.eks. en netfilter med squid og jeanna oven på. Dette er nok en lidt står mundfuld, men hvis du mener sikkerhed alvorligt kan du lige så godt kikke nøje på dette område.
Overvej et Intrition detection system, så du bliver advaret når der sker noget, F.eks. Snort der også er linus (ligesom netfilter, squid og jeanna) og som arbejder fint sammen med de tre andre.
Bliv ved med at gennemse din log og gem gamle logfiler så du kan kikke tilbage
jammen dog, jeg fik en åbenbaring og kiggede i logfilen til urlscanneren ( godt tænkt ik) grunden til at en af siderne ikke kørte med den aktiv var at templaten indeholdt . (punktum)så nu er den ændret og scanneren kører :-)
alle de filtre du nævner siger mig intet, men jeg sætter mig ind i sagerne snarest. jeg har i øjeblikket en router med firewall som jeg tror tager en del, og så ligger der en symantec antivirus til at snuppe noget fra mailserversoftwaren.
jeg tror nu at jeg har lukket langt de største huller, og accepterer her. tak for hjælpen
Velbekommen, det har da været en af de mere spændende opgaver. Du vender bare tilbage hvis der er mere.
og jo det var godt tænkt, logfiler er en guldgruppe hvis man forstår at læse dem
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
