【求助】有 Firewall 的 http server 網頁被 Hacked 了

之前關於 index.php 被大量置換的問題, 感謝大家的幫忙, 這次我又有新問題了.
我的客戶有使用 firewall, server OS 用 Windows 2000 Server, Update 到 SP4, 今天發現被 Hacked,首頁被改成如附件那樣的 html page, 我 check 過它的 html source code, 沒有任何 Script language, 所以請安心開啟.
by the way, 客戶的 firewall 也只有開 http port, 另外還有開兩個管理 port, 一個是 ftp, 另一個是 terminal services 遠端桌面, 不過這兩個管理 port 都有限制來源 IP , 但是還是被 Hacked 了.
想請問... 這是用什麼入侵程式造成的呢? 可能是什麼透過什麼方法進來換的呢?

這樣的敘述有點不知道從哪邊下手哩~
改 linux /FreeBSD會不會好一點呀？

有Firewall應該就可以查Log

win2000 只更新到 sp4 ?
要不要繼續更新到最新的 2005 年更新再看看?
在 sp4 之後，可是有補過幾個大漏洞喔。

現在知道為什麼有 firewall 還是被 Hack 了, 原因是他的 Server 上有兩個 Lan port, 其中一個有過 firewall, 另外還有拉一條線直接接到第二個 LAN Port, 而且是真實 IP, 所以 firewall 形同虛設, 但是... 我的問題是... 有沒有人知道這個 Hacking 的程式? 是透過麼方式 Hacking 進來的呢?

也有可能是系統漏洞阿....CHECK一下並更新吧
如果是有洞的系統不管你防火牆擋多好都一樣
總是要開PORT 80給人走阿....

有人說......
[ 對岸的同胞已經將Microsoft的作業系統摸的熟透透了，想要降低被Hi的機率的話，改用Linux / FreeBSD 來提供Web Service吧!! ]

PS.不過我覺得改用Linux / FreeBSD大概還是會被Hi吧！ :(

IP SHARE 與 FIREWALL 已經被廣告搞混了!

FIREWALL 可以控制執行的代碼進出!包含了LAN傳輸過來的不正當指令過濾!而IP SHARE只是控制 PORT FORWARDING 而已!先弄清楚了再買吧!參考進出流量!保護等級!拿台 IP SHARE補一補漏洞和寫好 A.S.P.就夠抵擋一些小鬼了!除非他會鎖 M.A.C! ;)

這台SERVER上如果沒錯!出了最大的狀況是權限設定問題而且維護上使用了遠端管理和使用了IIS的WINDOWS FTP SERVER !而且忘了裝 IIS LOCK工具!裝上他應該會好一點!

[QUOTE=iamyy]有人說......
[ 對岸的同胞已經將Microsoft的作業系統摸的熟透透了，想要降低被Hi的機率的話，改用Linux / FreeBSD 來提供Web Service吧!! ]
[/QUOTE]


這種說法,真的蠻可笑的.
自己的安全控管沒做好,用什麼作業系統和防火牆都一樣.
對我而言,使用自己不熟的作業系統,反而更沒有安全感.

就算用 Linux 也是要更新的
不更新一樣會出事

LINUX目前如果沒做更新或是設定檔沒搞好的話，被幹掉的速度絕對不比WIN慢.真有程度的HACKER很難有不熟LINUX一類的OS的.樓主應該是在WIN32平台裝APACHE的吧，看看版本有沒有更新到最新，裡頭一些沒有用的預設網頁都把他砍一砍吧！

如果已經被HACK了，順便把帳號權限檢查一下.看有沒有多了什麼不認識的帳號.

[QUOTE=genjen]現在知道為什麼有 firewall 還是被 Hack 了, 原因是他的 Server 上有兩個 Lan port, 其中一個有過 firewall, 另外還有拉一條線直接接到第二個 LAN Port, 而且是真實 IP, 所以 firewall 形同虛設, 但是... 我的問題是... 有沒有人知道這個 Hacking 的程式? 是透過麼方式 Hacking 進來的呢?[/QUOTE]

個人是覺得,不需要用什麼Hacking程式,最多也是一些掃ip,sniffer之類的軟體
像如果取得管理權,你又有開遠端桌面,根本連一些連線的軟體都不用了.該駭客根本就取得了Server的主控權了.你又有開遠端桌面,更方便.
直接改了網頁,我不知道你客戶的機器上還提供什麼樣的服務.
不過像FTP,遠端桌面這種我是不建議開.[color=red]尤其是FTP[/color];Web server就只做web server就好了
尤其是遠端桌面的預設內建使用帳號就是Administrator
這又牽扯到,你有沒有把Administrator給易容.像這種預設管理帳戶一定是要打入冷官
把原來的Administrator改名,並再做個假的Administrator把它的權限拿掉,用一個幾十碼的強勢密碼.讓駭客就算破了密碼,也拿到一個完全無用的帳號.
更何況,如果網管在登入的安全限設的好,也都按時看log檔,這些登入失敗的動作早就被視破了.
上面扯了半天的Administrator,就很明顯了.所以只要猜到密碼server 就完蛋了.
這些都可以在事件檢視器的log都可以查到,不過我要是駭客,也會記得擦屁股.

另外,網卡的設定,對internet那張網卡,就只要留tcp/ip就好了.
還有一堆一堆的可能.......講都講不完....
也只能用猜的.

如果網頁有牽扯到驗證的,又有一堆要注意的事了....比如會不會笨到用administrator去做沒安全連線(加密)ex:SSL的連線.帳號和密碼都用明碼傳送
鎖定你的ip,用一些監聽軟體來等著上勾就好了.而IIS5也有很多漏洞,安全性比IIS6差多了......但有修補後還是有差,或又是.....
網頁的實體目錄的權限是否有做正確的規劃??

如果用win32平台跑php,在php安裝完會出現一段警語...
[color=red]NT users may need to set appropriate permissions for the various php files and
directories.Usually IUS_MachineName(or the user your web server runs as) will
need read write access to the uploadtmp and session directories.and execute
access for php.exe and php4ts.dll.[/color]
該怎麼對這幾個目錄或檔案設什麼權限,沒弄好,也是漏洞百出.(用unix類的平台也是一樣要設只是方式不同)
不過我想大多數人安裝php也都只會一直按下一步,下一步.....也不鳥什麼訊息.

如果又有安裝資料庫,像MS SQL或mySQL,又有一堆要注意的事了....
像MS的sa+空白密碼,mySQL剛裝完的一堆白痴帳號,和目錄的windows權限....等等等...所以資料庫通常也會獨立做一台,並丟到防火牆後面.
不過看你的症頭好像不是這個.

總而言之,m$的server就是一台預設好的平台給你,但你都要自己去調整.
在2003後,這點就有加強.但是還是需要做一些細項的調整和安全的規劃.
所以,把不用的服務都關掉,把重要的帳號做一些安全規劃和調整.
而Web的服務像要命的FTP能不要裝就不要裝,不然就用WebDEV取代(不過iis5好像沒有)
所有要透過網際網路驗證或傳送敏感的資訊[color=red]至少[/color]都要用SSL加密.
叫你客戶的網管去買一些書來看好了.太多囉~~~
只能說server越單純越好.不同的server 提供不同的服務.多提供一項服務就多一個門路給人鑽.

[QUOTE=genjen]之前關於 index.php 被大量置換的問題, 感謝大家的幫忙, 這次我又有新問題了.
我的客戶有使用 firewall, server OS 用 Windows 2000 Server, Update 到 SP4, 今天發現被 Hacked,首頁被改成如附件那樣的 html page, 我 check 過它的 html source code, 沒有任何 Script language, 所以請安心開啟.
by the way, 客戶的 firewall 也只有開 http port, 另外還有開兩個管理 port, 一個是 ftp, 另一個是 terminal services 遠端桌面, 不過這兩個管理 port 都有限制來源 IP , 但是還是被 Hacked 了.
想請問... 這是用什麼入侵程式造成的呢? 可能是什麼透過什麼方法進來換的呢?[/QUOTE]
1.你要更新阿
如同上面的大大說的
別把linux當萬能的
沒更新,漏洞不補,一樣被幹

2.另外少用開源的網頁程式
我打開我的error log,隨便找找就發現一堆
要用也要勤更新
HTTP/1.1 POST /blogs/xmlsrv/xmlrpc.php 400 1 BadRequest DefaultAppPool
HTTP/1.1 POST /blogs/xmlsrv/xmlrpc.php 400 1 BadRequest DefaultAppPool
HTTP/1.1 POST /phpgroupware/xmlrpc.php 400 1 BadRequest DefaultAppPool
HTTP/1.1 POST /phpgroupware/xmlrpc.php 400 1 BadRequest DefaultAppPool
HTTP/1.1 POST /wordpress/xmlrpc.php 400 1 BadRequest DefaultAppPool
我沒裝那些開源的php程式,
如果又裝,裝的那版又有漏洞
網站就被幹掉囉

有人說過，拔掉網路線，不讓別人接近你的電腦，才能獲得安全。

[QUOTE=rEdS;809991]這種說法,真的蠻可笑的.
自己的安全控管沒做好,用什麼作業系統和防火牆都一樣.
對我而言,使用自己不熟的作業系統,反而更沒有安全感.[/QUOTE]

嗯,要用自己熟悉的系統,設置好權限

唉呀，其實Linux不會很難，現在我用的很順暢呢!
它的漏洞很少(因為open source)而且它效能又穩定，大家應該會喜歡!

以駭客的思考模式....

只要你主要的漏洞沒補,或是駭客開的後門還存在 ....

雖然你把竄改的網頁還原 , 駭客還是有很高的機率會再回來竄改

這對駭客來說是很有趣的挑戰 , 他們通常樂此不疲....

而且在網路上多了一台"肉機" ( 取得控制權可供任意使用的機器 ) 不管是要架地下 ftp , 木馬管理中心 , 入侵跳版 , irc server... 等等 都很好用 ....

建議您全面性的檢查網站系統的漏洞 ( 不管是作業系統平台還是網站內容的程式...)
仔細檢閱系統的各式 Log , 使用 sniffer , 或其他方式來取得駭客入侵的管道及操作方式,知己之彼才能有效防堵...

另外在攻防的過程中 , 建議不要挑釁駭客 .....
逐一把該做的防護做好,加強網站系統運作的監控及管理

以免脾氣不好沒耐性的駭客忍不住下手做蠢事 , 弄個玉石俱焚...

( 如果怕網站又被竄改 , 可以在把不常更動的網站內容燒成光碟掛上網站 , 看駭客怎麼改... XD )

當你的伺服器防護的越安全,駭客要入侵的成本相對提高...

如果沒有現實上的價值考量 , 通常駭客就會停手 , 去找網路上的其他機器下手了...

如果網站維運很重要 , 但又無能力維護 , 建議找專業資安團隊來協助....

N年前的東西又被挖出來...

你開個80 port,就是等著讓別人透過正常連線進來
就跟sfilc講的一樣,大部份的漏洞都是在程式上
Firewall 也不知道是啥等級
應該沒IDP?大概只是台IP分享器等級的東西吧?

OS,當然是能update更新的就更新
不能更新的,換OS吧?

被翻出來
那麼繼續回答好了

換個思考方式
把web的檔案變成唯讀 , 燒成CD如何 XD

[QUOTE=門神;1054071]被翻出來
那麼繼續回答好了

換個思考方式
把web的檔案變成唯讀 , 燒成CD如何 XD[/QUOTE]
這個主意真的不錯 XD 以前已經有人提到過
不過那就變成所有變動的資料及圖片,要嘛,就是在資料庫裡
不然就是在其它地方
但是對於那種萬年不變的網站,搞成這樣倒是不錯的主意 :P

主頁應該是最少變的

會變動的都是內頁