linuXploit_crew打我的网络服务器

Question

我们运行一个旧的Windows NT机器，完全修补运行IIS4.0。

今天我们遇到了“linuXploit_crew”，他们把我们的网站记下了一两分钟。 （幸运的是，我们很快发现网站发生了变化，并在攻击发生后几分钟内修复）。

但是 - 修复网站后，我仍然试图找出如何发生这种情况。

查看我们的FTP日志，我们的default.asp文件没有变化，而且对于Web日志，我什么都看不到。关于如何查明他们如何进入的任何想法？我们仅在思科防火墙上打开了3个端口，即FTP，HTTP和HTTPS（21,80,443）。

Answer 1

NT/IIS4不再获取安全更新。任何新漏洞仍将保留未修补。升级时间。

一旦您拥有足够的“所有权”来更改站点，您就不一定会相信您的日志 - 它们可能已被攻击者“清除”。

Answer 2

IIS 7 + .NET 3.5 SP1应该是一个不错的升级:)

Answer 3

他们似乎是使用某种形式的注入攻击：见http://msdn.microsoft.com/en-us/library/bb355989.aspx?ppud=4

Answer 4

的攻击的各式各样只通过端口80是可能的你在服务器上运行什么应用程序？ asp和php安全漏洞的数量比操作系统/服务器应用漏洞的数量要高。

Answer 5

远离Windows NT类系统。 IIS 7安全性可能不错，但价格不符合标准。改用BSD，或者用Apache。 CentOS如果Linux和OpenBSD如果BSD我的建议。