【求助】我架站被侵入...如何在IP分享器內擋掉IP ??



贊助商連結


fulldog
2004-05-25, 12:41 AM
請問各位高手
我有架設 FTP 與 WIN XP IIS 網站 但是....

我最近系統不明改變桌面..我的最愛...全都像是剛灌完的電腦狀態
還有...我苦苦載2個月的15G A片全被刪除.....超幹的!!

所以我在分享器LOG紀錄內抓到了這些IP不明登錄
想用說用IP分享器防火牆檔下這些IP (問題2)
我之前把D-LINK 704P C1 更新韌體結果為英文版
有點頭痛...
http://paintedover.com/uploads/2/version.jpg

問題:
1. 或是提供給我ㄧ些架站妨駭的技巧(軟體)...這我很需要說

2. 這是從IP分享器內所記錄的LOG IP我想都擋掉
但是我不知道要在 port 那怎樣設定??

2004年5月24日 上午 03:06:14 Unrecognized attempt blocked from 61.64.94.233:2794 to TCP port 135
2004年5月24日 上午 03:06:14 Unrecognized attempt blocked from 61.107.12.244:36560 to TCP port 8883
2004年5月24日 上午 03:06:15 Unrecognized attempt blocked from 61.107.12.244::6560 to TCP port 8883
還有很多我先標這些
http://paintedover.com/uploads/2/port.jpg

3. 還是要到 Firewall 那裡設定阿??
如何設定 IP 位址與 PORT 也麻煩說明一下謝謝 !!
http://paintedover.com/uploads/2/firewall.jpg

請各位高手抽空幫忙一下

贊助商連結


redhung
2004-05-25, 04:45 PM
blocked的意思是已擋下,所以你的重點應該是先去更新修正檔,尤其是IIS的修正檔,然後再掃掃毒與木馬。

琥珀
2004-05-25, 05:05 PM
http://tsd.dlink.com.tw/info.nsf/c83b89d3d978cf754825693500345459/64e019007e42db8948256e390015599e/$FILE/20040206_604_704P_707P_304b1.ZIP
DI-604(H/W D1), DI-704P(H/W C1), DI-707P(H/W C1)

雖然這對於解決問題沒有太大幫助。

raytracy
2004-05-25, 05:35 PM
最初由 fulldog 發表
問題:
1. 或是提供給我ㄧ些架站妨駭的技巧(軟體)...這我很需要說

2. 這是從IP分享器內所記錄的LOG IP我想都擋掉
但是我不知道要在 port 那怎樣設定??

1. 您應該在 XP 上加裝防毒+防火牆軟體(一定要兩個都有), 例如: Norton Internet Security 2004, 或是 防毒+ZoneAlarm PRO 之類的, 但是記得將 Web 和 FTP port 打開 (TCP 80, 21, 20). Norton 除了防火牆之外, 另有簡易 IDS 的功能 (入侵偵測), 可以動態幫您擋掉惡意入侵.

2. 如果您裝了防火牆軟體, 這邊就不太需要了. 不過如果沒有的話, 您應該設定以下這些規則:

所有外部電腦 -> 您的XP, TCP Port 80, 通過
所有外部電腦 -> 您的XP, TCP Port 21, 通過
所有外部電腦 -> 您的XP, TCP Port 20, 通過
所有外部電腦 -> 您的XP, 所有Port, 拒絕

上面這樣就已經擋掉 Layer 3 防火牆可以擋的東西, 剩下的, 只能靠 Content Filter 或 IDS 來擋.

TAIWAN
2004-05-25, 08:25 PM
喔!這一台 704 的 BUG 先去修一修補一補!

用 IIS 要記得到微軟網站去下載免費的 IIS LOCKDOWN ,用 IIS 預設的 FTP 權限要設對,XP 和 IIS 的洞洞去補一補!不過有人補過後一樣被逛大街!:D

這是去年躲在 NAT 後面洞洞沒補完的逛大街案例::D

http://forum.icst.org.tw/phpBB2/viewtopic.php?t=1075

反正這台 IP SHARE 只是用 NAT 轉址而已,不是真的 FIREWALL啦! 一般小朋友是沒辦法去逛大街的,還有用 XP 架站,什麼防毒防駭的東東也不需要裝,除非是剛入門的新手,怕東怕西,怕硬碟太大沒用到才去裝。

其他的依照 琥珀 大哥說的內容處理後,再玩吧!:D

PS: A 級片燒幾片來分享或講一下您的 IP 好嗎?:D

raytracy
2004-05-25, 09:02 PM
最初由 TAIWAN 發表
還有用 XP 架站,什麼防毒防駭的東東也不需要裝,除非是剛入門的新手,怕東怕西,怕硬碟太大沒用到才去裝。
小弟對這樣的看法有些不同意見. 如果真的不裝, 那先前 fulldog 就應該不會被入侵了啊? 他不就是什麼都沒裝才出事的嗎?

當然, 他也可以把所有相關的 Patch 都裝上來, 或許可以一陣子沒事, 但若沒有經常去更新 patch 的話, 恐怕過不久, 還是一樣被入侵.

這邊有個重點是: 一般用戶沒辦法像專業的資安人員一樣, 隨時去注意這些事情; 因此我才會建議改用自動化防駭防毒的軟體, 讓這些軟體自動更新 Pattern, 至少用戶可以不必花太多精神在一天到晚要去手動 patch 這件事上.

當然, 像您這樣的資安專業人員, 或許已經沉浸在每天尋找漏洞,安裝 patch 的樂趣中, 所以不覺得這是件苦差事; 不過, 我想一般的用戶大概沒有多餘精神去玩這些東西, 他們應該想更專注在自己的內容方面.

TAIWAN
2004-05-25, 09:34 PM
最初由 raytracy 發表
小弟對這樣的看法有些不同意見. 如果真的不裝, 那先前 fulldog 就應該不會被入侵了啊? 他不就是什麼都沒裝才出事的嗎?

當然, 他也可以把所有相關的 Patch 都裝上來, 或許可以一陣子沒事, 但若沒有經常去更新 patch 的話, 恐怕過不久, 還是一樣被入侵.

這邊有個重點是: 一般用戶沒辦法像專業的資安人員一樣, 隨時去注意這些事情; 因此我才會建議改用自動化防駭防毒的軟體, 讓這些軟體自動更新 Pattern, 至少用戶可以不必花太多精神在一天到晚要去手動 patch 這件事上.

當然, 像您這樣的資安專業人員, 或許已經沉浸在每天尋找漏洞,安裝 patch 的樂趣中, 所以不覺得這是件苦差事; 不過, 我想一般的用戶大概沒有多餘精神去玩這些東西, 他們應該想更專注在自己的內容方面.

raytracy 大哥

所說的確實適用於台灣一般 ENDUSER ,但此舉卻已造成台灣 ENDUSER 太依賴或迷信品牌的情況發生!
http://forum.icst.org.tw/phpBB2/viewtopic.php?t=945

每每資安事件發生,大多是由新聞記者配合廠商炒作,但國外並無這樣情況,除非是大到像 CODE-RED FAMILY 或 SQL-WORM 國外記者才會報導! :D

http://www.maillist.com.tw/maillist/file/skynet/20030128064857.html
http://www.maillist.com.tw/maillist/file/skynet/20010803205101.html

MAC OS 、LINUX、SOLARIS、SUN OS、WINDOWS、UNIX、BSD 誰比較安全? 答案是設定錯誤沒有一個是安全的!

小弟是認為!資安是建立在電腦基本操作觀念上,而非使用現成軟、硬防護措施!
http://www.pczone.com.tw/showthread.php?t=119847

fulldog
2004-05-25, 10:26 PM
感謝各位高手熱烈回應!!!
我先試試看有問題可能還要麻煩各位啦!!

raytracy
2004-05-25, 10:34 PM
最初由 TAIWAN 發表
所說的確實適用於台灣一般 ENDUSER ,但此舉卻已造成台灣 ENDUSER 太依賴或迷信品牌的情況發生!
小弟是認為!資安是建立在電腦基本操作觀念上,而非使用現成軟、硬防護措施!
我覺得, 您這句話非常重要!! 雖然我建議了一個比較簡便的作法, 但是根本解決問題, 還是在您提出的這個觀念. 就像一個長期沒有人管理的防火牆, 幾乎等於是沒有作用一樣.

非常高興能有這樣的機會, 與您交換意見!! :)

TAIWAN
2004-06-09, 03:41 PM
最初由 raytracy 發表
我覺得, 您這句話非常重要!! 雖然我建議了一個比較簡便的作法, 但是根本解決問題, 還是在您提出的這個觀念. 就像一個長期沒有人管理的防火牆, 幾乎等於是沒有作用一樣.

非常高興能有這樣的機會, 與您交換意見!! :)

有空可一定要到真實的網聚中,一起來打屁聊天講笑話喔 :D