【求助】有 Firewall 的 http server 網頁被 Hacked 了



贊助商連結


頁 : 1 [2] 3

cheerx
2005-05-10, 09:33 AM
LINUX目前如果沒做更新或是設定檔沒搞好的話,被幹掉的速度絕對不比WIN慢.真有程度的HACKER很難有不熟LINUX一類的OS的.樓主應該是在WIN32平台裝APACHE的吧,看看版本有沒有更新到最新,裡頭一些沒有用的預設網頁都把他砍一砍吧!

如果已經被HACK了,順便把帳號權限檢查一下.看有沒有多了什麼不認識的帳號.

贊助商連結


rEdS
2005-05-10, 11:42 AM
現在知道為什麼有 firewall 還是被 Hack 了, 原因是他的 Server 上有兩個 Lan port, 其中一個有過 firewall, 另外還有拉一條線直接接到第二個 LAN Port, 而且是真實 IP, 所以 firewall 形同虛設, 但是... 我的問題是... 有沒有人知道這個 Hacking 的程式? 是透過麼方式 Hacking 進來的呢?

個人是覺得,不需要用什麼Hacking程式,最多也是一些掃ip,sniffer之類的軟體
像如果取得管理權,你又有開遠端桌面,根本連一些連線的軟體都不用了.該駭客根本就取得了Server的主控權了.你又有開遠端桌面,更方便.
直接改了網頁,我不知道你客戶的機器上還提供什麼樣的服務.
不過像FTP,遠端桌面這種我是不建議開.尤其是FTP;Web server就只做web server就好了
尤其是遠端桌面的預設內建使用帳號就是Administrator
這又牽扯到,你有沒有把Administrator給易容.像這種預設管理帳戶一定是要打入冷官
把原來的Administrator改名,並再做個假的Administrator把它的權限拿掉,用一個幾十碼的強勢密碼.讓駭客就算破了密碼,也拿到一個完全無用的帳號.
更何況,如果網管在登入的安全限設的好,也都按時看log檔,這些登入失敗的動作早就被視破了.
上面扯了半天的Administrator,就很明顯了.所以只要猜到密碼server 就完蛋了.
這些都可以在事件檢視器的log都可以查到,不過我要是駭客,也會記得擦屁股.

另外,網卡的設定,對internet那張網卡,就只要留tcp/ip就好了.
還有一堆一堆的可能.......講都講不完....
也只能用猜的.

如果網頁有牽扯到驗證的,又有一堆要注意的事了....比如會不會笨到用administrator去做沒安全連線(加密)ex:SSL的連線.帳號和密碼都用明碼傳送
鎖定你的ip,用一些監聽軟體來等著上勾就好了.而IIS5也有很多漏洞,安全性比IIS6差多了......但有修補後還是有差,或又是.....
網頁的實體目錄的權限是否有做正確的規劃??

如果用win32平台跑php,在php安裝完會出現一段警語...
NT users may need to set appropriate permissions for the various php files and
directories.Usually IUS_MachineName(or the user your web server runs as) will
need read write access to the uploadtmp and session directories.and execute
access for php.exe and php4ts.dll.
該怎麼對這幾個目錄或檔案設什麼權限,沒弄好,也是漏洞百出.(用unix類的平台也是一樣要設只是方式不同)
不過我想大多數人安裝php也都只會一直按下一步,下一步.....也不鳥什麼訊息.

如果又有安裝資料庫,像MS SQL或mySQL,又有一堆要注意的事了....
像MS的sa+空白密碼,mySQL剛裝完的一堆白痴帳號,和目錄的windows權限....等等等...所以資料庫通常也會獨立做一台,並丟到防火牆後面.
不過看你的症頭好像不是這個.

總而言之,m$的server就是一台預設好的平台給你,但你都要自己去調整.
在2003後,這點就有加強.但是還是需要做一些細項的調整和安全的規劃.
所以,把不用的服務都關掉,把重要的帳號做一些安全規劃和調整.
而Web的服務像要命的FTP能不要裝就不要裝,不然就用WebDEV取代(不過iis5好像沒有)
所有要透過網際網路驗證或傳送敏感的資訊至少都要用SSL加密.
叫你客戶的網管去買一些書來看好了.太多囉~~~
只能說server越單純越好.不同的server 提供不同的服務.多提供一項服務就多一個門路給人鑽.

sfilc
2006-05-18, 06:25 AM
之前關於 index.php 被大量置換的問題, 感謝大家的幫忙, 這次我又有新問題了.
我的客戶有使用 firewall, server OS 用 Windows 2000 Server, Update 到 SP4, 今天發現被 Hacked,首頁被改成如附件那樣的 html page, 我 check 過它的 html source code, 沒有任何 Script language, 所以請安心開啟.
by the way, 客戶的 firewall 也只有開 http port, 另外還有開兩個管理 port, 一個是 ftp, 另一個是 terminal services 遠端桌面, 不過這兩個管理 port 都有限制來源 IP , 但是還是被 Hacked 了.
想請問... 這是用什麼入侵程式造成的呢? 可能是什麼透過什麼方法進來換的呢?
1.你要更新阿
如同上面的大大說的
別把linux當萬能的
沒更新,漏洞不補,一樣被幹

2.另外少用開源的網頁程式
我打開我的error log,隨便找找就發現一堆
要用也要勤更新
HTTP/1.1 POST /blogs/xmlsrv/xmlrpc.php 400 1 BadRequest DefaultAppPool
HTTP/1.1 POST /blogs/xmlsrv/xmlrpc.php 400 1 BadRequest DefaultAppPool
HTTP/1.1 POST /phpgroupware/xmlrpc.php 400 1 BadRequest DefaultAppPool
HTTP/1.1 POST /phpgroupware/xmlrpc.php 400 1 BadRequest DefaultAppPool
HTTP/1.1 POST /wordpress/xmlrpc.php 400 1 BadRequest DefaultAppPool
我沒裝那些開源的php程式,
如果又裝,裝的那版又有漏洞
網站就被幹掉囉

rushoun
2006-05-18, 09:14 AM
有人說過,拔掉網路線,不讓別人接近你的電腦,才能獲得安全。

vicacheung
2008-06-25, 11:07 AM
這種說法,真的蠻可笑的.
自己的安全控管沒做好,用什麼作業系統和防火牆都一樣.
對我而言,使用自己不熟的作業系統,反而更沒有安全感.

嗯,要用自己熟悉的系統,設置好權限

noeleon930
2009-04-04, 06:37 PM
唉呀,其實Linux不會很難,現在我用的很順暢呢!
它的漏洞很少(因為open source)而且它效能又穩定,大家應該會喜歡!

unknow8877
2009-04-10, 12:39 PM
以駭客的思考模式....

只要你主要的漏洞沒補,或是駭客開的後門還存在 ....

雖然你把竄改的網頁還原 , 駭客還是有很高的機率會再回來竄改

這對駭客來說是很有趣的挑戰 , 他們通常樂此不疲....

而且在網路上多了一台"肉機" ( 取得控制權可供任意使用的機器 ) 不管是要架地下 ftp , 木馬管理中心 , 入侵跳版 , irc server... 等等 都很好用 ....

建議您全面性的檢查網站系統的漏洞 ( 不管是作業系統平台還是網站內容的程式...)
仔細檢閱系統的各式 Log , 使用 sniffer , 或其他方式來取得駭客入侵的管道及操作方式,知己之彼才能有效防堵...

另外在攻防的過程中 , 建議不要挑釁駭客 .....
逐一把該做的防護做好,加強網站系統運作的監控及管理

以免脾氣不好沒耐性的駭客忍不住下手做蠢事 , 弄個玉石俱焚...

( 如果怕網站又被竄改 , 可以在把不常更動的網站內容燒成光碟掛上網站 , 看駭客怎麼改... XD )

當你的伺服器防護的越安全,駭客要入侵的成本相對提高...

如果沒有現實上的價值考量 , 通常駭客就會停手 , 去找網路上的其他機器下手了...

如果網站維運很重要 , 但又無能力維護 , 建議找專業資安團隊來協助....

tvirus
2009-04-10, 01:10 PM
N年前的東西又被挖出來...

你開個80 port,就是等著讓別人透過正常連線進來
就跟sfilc講的一樣,大部份的漏洞都是在程式上
Firewall 也不知道是啥等級
應該沒IDP?大概只是台IP分享器等級的東西吧?

OS,當然是能update更新的就更新
不能更新的,換OS吧?

門神
2009-04-10, 01:35 PM
被翻出來
那麼繼續回答好了

換個思考方式
把web的檔案變成唯讀 , 燒成CD如何 XD

tvirus
2009-04-10, 04:23 PM
被翻出來
那麼繼續回答好了

換個思考方式
把web的檔案變成唯讀 , 燒成CD如何 XD
這個主意真的不錯 XD 以前已經有人提到過
不過那就變成所有變動的資料及圖片,要嘛,就是在資料庫裡
不然就是在其它地方
但是對於那種萬年不變的網站,搞成這樣倒是不錯的主意 :P