Как я могу узнать *, КАК* мой сайт был взломан? Как я нахожу уязвимости сайта?
8 ответов
Кажется, что нападение на Ваш веб-сайт было частью массового стирания, выполненного ЛЕБЕДЕМ 21 ноября 2008 против Windows 2003 и полей Windows 2000 рабочий IIS 6.0. Другие здесь предложили много вещей. Я только добавил бы, что каждый раз, когда Вы решаете поднять веб-сайт, отформатировать поле и переустанавливают с нуля. После того как поле поставлено под угрозу, ему нельзя доверять, вообще, однако Вы чистите и очищаете его.
Процесс IIS
Проверка, что Ваш процесс ASPNET не имеет полномочия записать файлы на сервере. Если Вам нужен процесс, чтобы иметь полномочия записи, позволить им только делать так на определенной папке, и отклонять выполняют полномочия на той папке для всех Пользовательских учетных записей.
Внедрение SQL
, Чтобы видеть, что люди ищут SQL vunrabilities, взглянуло в Ваших файлах журнала для следующего текста, "БРОСЬТЕ (".
у Вас есть какие-либо места, где Вы создаете SQL в коде позади для запросов базы данных? Они могут быть подвержены атакам с использованием кода на SQL. Путем замены кода такой в качестве следующего Вы будете более в безопасности.
Dim strSQL As String = "Select * FROM USERS Where name = '" & Response.Querystring("name") "'"
затем рассматривают альтернативу как следующее.
Dim strSQL As String = "Select * FROM USERS Where name = @name"
и затем добавление соответствующего Параметра SQL к команде sql.
Надо надеяться, Вам включили Ваши файлы журнала IIS, и надо надеяться хакер не стер их. По умолчанию они расположены здесь: c:\winnt\system32\LogFiles\W3SVC1 и будут обычно называть в честь даты.
Затем, вероятно, полезно выяснить, как использовать синтаксический анализатор журнала (от Microsoft), который свободен. Затем использование это руководство для помощи Вам с рассмотрением криминалистически Ваших файлов журнала. У Вас есть брандмауэр, потому что это - системные журналы, могло бы быть полезным.
Другой достойный инструмент, чтобы помочь Вам найти проблемы внедрения SQL должен пойти сюда и загрузить Scrawlr HP.
, Если у Вас больше есть вопросы о том, что Вы нашли, возвратитесь и спросите.
Ну, для начинающих:
- Вы исправили свой сервер?
- у Вас есть непрекращающиеся остатки вещей как Серверные расширения FrontPage , расширения Office для сети, и т.д.?
- Вы удостоверились, что у Вас нет уязвимостей Внедрения SQL?
- Вы погуглили для того текста, "Взломанный лебедем"? Существует много хитов, возможно, один из них выяснил его вход
, Если Вы действительно имеете, или не уверено в, есть ли у Вас проблемы Внедрения SQL или нет, затем можно спросить далее здесь, но иначе я заставил бы некоторых специалистов по безопасности помогать Вам.
Это - действительно сайт программирования, поэтому если Ваша проблема не будет связана с программированием, она будет, скорее всего, закрыта снова.
Вы могли бы хотеть дать попытку это с помощью инструментария проникновения как Metasploit для обнаружения любых очевидных дыр.
кроме того, отправьте свои файлы журнала, если они не вмешиваются с.
Первая вещь, которую необходимо сделать, проверить файлы журнала. Вы могли вставить их здесь, и мы скажем Вам, если мы распознаем нападение.
Настройте Google Analytics и просмотрите все запросы, которые были отправлены на ваш веб-сайт. Если вы имеете дело с SQL-инъекцией через строку запроса, вы легко узнаете, что они сделали и как они нашли ваши уязвимости.
Включен ли FTP?
Однажды у меня был клиент, который по какой-то причине оставил свой FTP включенным, и хакер просто запустил бота, пробуя случайные / обычные комбинации пользователя и пароля. Этот взлом был хуже, чем ваш, потому что он не отображался на веб-страницах, но пытался установить ActiveX ...
Итак, вы могли проверить свой журнал FTP.