Proteção contra kits DOS (Gootkit)

1

Estou ajudando uma pequena empresa de hospedagem. Eles têm servidores que oferecem hospedagem .NET com Windows & IIS. Para o gerenciamento de clientes, criação de domínio e esse tipo de coisa que eles estão usando Paralells Plesk, que funciona bem.

Parece que no processo de geração de estatísticas 'Perl.exe' é usado para analisar arquivos de log do IIS. Hoje descobrimos que alguns usuários estão infectados por um sistema DOS chamado Gootkit. Muitos scripts maliciosos são encontrados na pasta cgi-bin. Eu não sei exatamente como, mas eles são invocados de alguma forma (e executados via Perl com seu usuário IUSR).

Isolamos esses scripts e o problema parou agora. Também adicionamos uma rota falsa no Windows ao IP de destino do ataque para impedir a saída do tráfego.

Além dessas ações reativas específicas, fiquei me perguntando: qual é a lista de verificação correta que você deve seguir para evitar esses problemas? Atualmente, o Firewall do Windows está ativo e em execução, o Kaspersky AV está em funcionamento e existe um firewall de hardware. No entanto, o upload e a invocação simples desses scripts levaram a interface de rede a funcionar 100% afetando todas as máquinas do datacenter.

Como podemos fazer um trabalho melhor na proteção de nossos servidores?

    
por Jacob84 05.03.2012 / 20:09

1 resposta

1

Um de nossos clientes foi afetado da mesma forma, os arquivos foram enviados por meio de solicitações POST para o URI / plesk / client @ {número do cliente} / domain @ {número do domínio} / hosting / gerenciador de arquivos / arquivo de criação

Eles são, creio eu, invocados por uma solicitação da web que geralmente inclui o alvo e o tipo de ataque (SYN flood etc).

Para evitar que isso aconteça novamente, verifique se você está executando a versão mais atualizada do Plesk, certifique-se de que todas as senhas sejam strongs e, o mais importante de tudo - garanta que você não tenha vulnerabilidades SQL em nada nesse servidor. O Plesk armazena as senhas de usuários em texto simples, portanto, se um invasor puder executar SQL arbitrário, ele poderá recuperá-lo, fazer login e fazer upload de arquivos.

    
por 07.03.2012 / 12:23