【求助】我架站被侵入...如何在IP分享器內擋掉IP ??

[fulldog]

請問各位高手
我有架設 FTP 與 WIN XP IIS 網站 但是....

我最近系統不明改變桌面..我的最愛...全都像是剛灌完的電腦狀態
還有...我苦苦載2個月的15G A片全被刪除.....超幹的!!

所以我在分享器LOG紀錄內抓到了這些IP不明登錄
想用說用IP分享器防火牆檔下這些IP (問題2)
我之前把D-LINK 704P C1 更新韌體結果為英文版
有點頭痛...


問題:
1. 或是提供給我ㄧ些架站妨駭的技巧(軟體)...這我很需要說

2. 這是從IP分享器內所記錄的LOG IP我想都擋掉
但是我不知道要在 port 那怎樣設定??

2004年5月24日 上午 03:06:14 Unrecognized attempt blocked from 61.64.94.233:2794 to TCP port 135
2004年5月24日 上午 03:06:14 Unrecognized attempt blocked from 61.107.12.244:36560 to TCP port 8883
2004年5月24日 上午 03:06:15 Unrecognized attempt blocked from 61.107.12.244::6560 to TCP port 8883
還有很多我先標這些


3. 還是要到 Firewall 那裡設定阿??
如何設定 IP 位址與 PORT 也麻煩說明一下謝謝 !!


請各位高手抽空幫忙一下

[redhung]

blocked的意思是已擋下，所以你的重點應該是先去更新修正檔，尤其是IIS的修正檔，然後再掃掃毒與木馬。

[琥珀]

http://tsd.dlink.com.tw/info.nsf/c83...707P_304b1.ZIP
DI-604(H/W D1), DI-704P(H/W C1), DI-707P(H/W C1)

雖然這對於解決問題沒有太大幫助。

[raytracy]

最初由 fulldog 發表
問題:
1. 或是提供給我ㄧ些架站妨駭的技巧(軟體)...這我很需要說

2. 這是從IP分享器內所記錄的LOG IP我想都擋掉
但是我不知道要在 port 那怎樣設定??

1. 您應該在 XP 上加裝防毒+防火牆軟體(一定要兩個都有), 例如: Norton Internet Security 2004, 或是 防毒+ZoneAlarm PRO 之類的, 但是記得將 Web 和 FTP port 打開 (TCP 80, 21, 20). Norton 除了防火牆之外, 另有簡易 IDS 的功能 (入侵偵測), 可以動態幫您擋掉惡意入侵.

2. 如果您裝了防火牆軟體, 這邊就不太需要了. 不過如果沒有的話, 您應該設定以下這些規則:

所有外部電腦 -> 您的XP, TCP Port 80, 通過
所有外部電腦 -> 您的XP, TCP Port 21, 通過
所有外部電腦 -> 您的XP, TCP Port 20, 通過
所有外部電腦 -> 您的XP, 所有Port, 拒絕

上面這樣就已經擋掉 Layer 3 防火牆可以擋的東西, 剩下的, 只能靠 Content Filter 或 IDS 來擋.

[TAIWAN]

喔！這一台 704 的 BUG 先去修一修補一補！

用 IIS 要記得到微軟網站去下載免費的 IIS LOCKDOWN ，用 IIS 預設的 FTP 權限要設對，XP 和 IIS 的洞洞去補一補！不過有人補過後一樣被逛大街！

這是去年躲在 NAT 後面洞洞沒補完的逛大街案例：

http://forum.icst.org.tw/phpBB2/viewtopic.php?t=1075

反正這台 IP SHARE 只是用 NAT 轉址而已，不是真的 FIREWALL啦！ 一般小朋友是沒辦法去逛大街的，還有用 XP 架站，什麼防毒防駭的東東也不需要裝，除非是剛入門的新手，怕東怕西，怕硬碟太大沒用到才去裝。

其他的依照 琥珀 大哥說的內容處理後，再玩吧！

PS: A 級片燒幾片來分享或講一下您的 IP 好嗎？

[raytracy]

最初由 TAIWAN 發表
還有用 XP 架站，什麼防毒防駭的東東也不需要裝，除非是剛入門的新手，怕東怕西，怕硬碟太大沒用到才去裝。

小弟對這樣的看法有些不同意見. 如果真的不裝, 那先前 fulldog 就應該不會被入侵了啊? 他不就是什麼都沒裝才出事的嗎?

當然, 他也可以把所有相關的 Patch 都裝上來, 或許可以一陣子沒事, 但若沒有經常去更新 patch 的話, 恐怕過不久, 還是一樣被入侵.

這邊有個重點是: 一般用戶沒辦法像專業的資安人員一樣, 隨時去注意這些事情; 因此我才會建議改用自動化防駭防毒的軟體, 讓這些軟體自動更新 Pattern, 至少用戶可以不必花太多精神在一天到晚要去手動 patch 這件事上.

當然, 像您這樣的資安專業人員, 或許已經沉浸在每天尋找漏洞,安裝 patch 的樂趣中, 所以不覺得這是件苦差事; 不過, 我想一般的用戶大概沒有多餘精神去玩這些東西, 他們應該想更專注在自己的內容方面.

[TAIWAN]

最初由 raytracy 發表
小弟對這樣的看法有些不同意見. 如果真的不裝, 那先前 fulldog 就應該不會被入侵了啊? 他不就是什麼都沒裝才出事的嗎?

當然, 他也可以把所有相關的 Patch 都裝上來, 或許可以一陣子沒事, 但若沒有經常去更新 patch 的話, 恐怕過不久, 還是一樣被入侵.

這邊有個重點是: 一般用戶沒辦法像專業的資安人員一樣, 隨時去注意這些事情; 因此我才會建議改用自動化防駭防毒的軟體, 讓這些軟體自動更新 Pattern, 至少用戶可以不必花太多精神在一天到晚要去手動 patch 這件事上.

當然, 像您這樣的資安專業人員, 或許已經沉浸在每天尋找漏洞,安裝 patch 的樂趣中, 所以不覺得這是件苦差事; 不過, 我想一般的用戶大概沒有多餘精神去玩這些東西, 他們應該想更專注在自己的內容方面.

raytracy 大哥

所說的確實適用於台灣一般 ENDUSER ，但此舉卻已造成台灣 ENDUSER 太依賴或迷信品牌的情況發生！
http://forum.icst.org.tw/phpBB2/viewtopic.php?t=945

每每資安事件發生，大多是由新聞記者配合廠商炒作，但國外並無這樣情況，除非是大到像 CODE-RED FAMILY 或 SQL-WORM 國外記者才會報導！

http://www.maillist.com.tw/maillist/...128064857.html
http://www.maillist.com.tw/maillist/...803205101.html

MAC OS 、LINUX、SOLARIS、SUN OS、WINDOWS、UNIX、BSD 誰比較安全？ 答案是設定錯誤沒有一個是安全的！

小弟是認為！資安是建立在電腦基本操作觀念上，而非使用現成軟、硬防護措施！
http://www.pczone.com.tw/showthread.php?t=119847

[fulldog]

感謝各位高手熱烈回應!!!
我先試試看有問題可能還要麻煩各位啦!!

[raytracy]

最初由 TAIWAN 發表
所說的確實適用於台灣一般 ENDUSER ，但此舉卻已造成台灣 ENDUSER 太依賴或迷信品牌的情況發生！
小弟是認為！資安是建立在電腦基本操作觀念上，而非使用現成軟、硬防護措施！

我覺得, 您這句話非常重要!! 雖然我建議了一個比較簡便的作法, 但是根本解決問題, 還是在您提出的這個觀念. 就像一個長期沒有人管理的防火牆, 幾乎等於是沒有作用一樣.

非常高興能有這樣的機會, 與您交換意見!!

[TAIWAN]

最初由 raytracy 發表
我覺得, 您這句話非常重要!! 雖然我建議了一個比較簡便的作法, 但是根本解決問題, 還是在您提出的這個觀念. 就像一個長期沒有人管理的防火牆, 幾乎等於是沒有作用一樣.

非常高興能有這樣的機會, 與您交換意見!!

有空可一定要到真實的網聚中，一起來打屁聊天講笑話喔