O que pode estar causando o seguinte corte?

Navegue suas respostas
1

Informações do servidor:

Windows XP

Service Pack 2

Microsoft-IIS/6.0

Em geral, o servidor está fora do meu país (por enquanto). Posso solicitar patches que estão faltando, mas não posso alterar a versão do Windows ou a versão do IIS.

Informação de hacker:

O seguinte, mas de HTML, é adicionado aos nossos arquivos aspx, logo abaixo da tag. Isso significa que eles têm acesso mínimo de leitura / gravação aos nossos arquivos. Isso também significa que a página não está em branco, pois eles têm uma tag <div> extra que não é fechada. Eu deveria notar que em algumas páginas o extra, não fechado, <div> não está lá, então a página continua carregando bem. 

<script language="javascript" type="text/javascript">
document.write("<div style='display:none;'>");
</script><div> <a href="http://www.wowgoldlife.com/">wow gold</a> 
<a href="http://www.guidespower.com/">runescape gold</a> 
<a href="http://www.riftstore.com/">rift gold</a> 
<a href="http://www.riftgoldsale.com/">rift platinum</a>
<a href="http://www.mywowgoldsite.com/">buy wow gold</a> 
<a href="http://www.wowgoldsonline.com/">cheap wow gold</a> 
<a href="http://www.mmogoldsonsale.com/">world of warcraft gold</a> 
<a href="http://www.rsgpstore.com/">rs gold</a>
<a href="http://www.rsgoldlife.com/">buy runescape gold</a>
<script language="javascript" type="text/javascript">
document.write("</div>");
</script>

As perguntas:

  1. Quais são os possíveis pontos de entrada para este hack?
  2. Dadas as minhas restrições acima, como posso evitar isso no futuro?

Atualizar

Parece que o IIS6 no XP causou alguns comentários. Pelo que posso dizer, estou executando o IIS6 no WindowsXP ... Esse código diz que estou no XP e Request.ServerVariables ["SERVER_SOFTWARE"] diz que estou no IIS6.

    
por Justin808 21.04.2011 / 01:57

3 respostas

2

Não temos como saber o que "pode estar causando o seguinte hack". O fato de você estar executando um site voltado ao público no Windows XP me diz algo sobre você ou sobre as habilidades de suas empresas para lidar com esse problema.

  1. Quem quer que tenha configurado isso, não sabe o que está fazendo.

O que me leva ao resto da minha conclusão.

  • Por favor, contrate consultores adequados para ajudá-lo a configurar e manter um site voltado para o público.

Os problemas com essa configuração específica, juntamente com o fato de que você deixou de fora uma tonelada de informações, tornam quase impossível ajudá-lo com esse problema. Independentemente disso, pode ser literalmente qualquer coisa que causou este hack em particular, do xss para uma instalação do Windows XP não corrigida.

    
por 22.04.2011 / 20:26
0

Você precisa colocar esse aplicativo off-line.

Agora mesmo

... e mantenha-o offline até que o servidor fique "sob controle". Se não for seu, alguém que tenha alguma ideia de como administrar um servidor.

Se informações estão sendo adicionadas ao seu código-fonte dessa maneira, seu servidor é o que gostamos de chamar de "pwned". Essa caixa não é mais sua. Provavelmente há mais coisas acontecendo que você nem conhece. É muito provável que exista uma conta de FTP aberta ou que exista algum tipo de aplicação que exponha a fonte do site a ler e a escrever.

Você não dá informações suficientes para dizer mais do que isso. No mínimo absoluto, eu pegaria o cabo de rede desse sistema desconectado até você descobrir a extensão do que está acontecendo.

Ah ... e o IIS5.1 é o que estaria no XP. E o XP não deve estar sendo usado como um servidor web voltado para o público, mas isso é uma "bola de cera" ...

    
por 22.04.2011 / 14:46
0

Eu acho que é mais provável que seja um ataque de injeção de SQL no seu aplicativo. O código é gerado dinamicamente por um banco de dados?

Audite o acesso ao arquivo para verificar qual conta está fazendo as alterações.

E, como outros já disseram, coloque o servidor offline. O Windows XP nunca deve executar um site fora do desenvolvimento.

    
por 22.04.2011 / 20:50

Tags

Execução de um servidor de terminal Linux (multiusuário) compatível com o Microsoft Terminal Services Client snmp obtém valor de um arquivo