服务器信息:
Windows XP
服务包 2
Microsoft-IIS/6.0
一般来说,服务器暂时不在我的控制范围内。我可以请求缺少的补丁,但不能更改 Windows 版本或 IIS 版本。
黑客信息:
在我们的 aspx 文件中,标签正下方添加了以下 HTML。这意味着他们至少对我们的文件具有读/写权限。这也意味着页面不是空白的,因为他们有一个<div>
未关闭的额外标签。我应该注意,在某些页面上,未关闭的额外标签<div>
不存在,因此页面继续正常加载。
<script language="javascript" type="text/javascript">
document.write("<div style='display:none;'>");
</script><div> <a href="http://www.wowgoldlife.com/">wow gold</a>
<a href="http://www.guidespower.com/">runescape gold</a>
<a href="http://www.riftstore.com/">rift gold</a>
<a href="http://www.riftgoldsale.com/">rift platinum</a>
<a href="http://www.mywowgoldsite.com/">buy wow gold</a>
<a href="http://www.wowgoldsonline.com/">cheap wow gold</a>
<a href="http://www.mmogoldsonsale.com/">world of warcraft gold</a>
<a href="http://www.rsgpstore.com/">rs gold</a>
<a href="http://www.rsgoldlife.com/">buy runescape gold</a>
<script language="javascript" type="text/javascript">
document.write("</div>");
</script>
问题:
- 这次黑客攻击的可能切入点有哪些?
- 鉴于上述限制,我该如何防止将来再次发生这种情况?
更新
似乎 XP 上的 IIS6 引起了一些评论。据我所知,我在 WindowsXP 上运行的是 IIS6... 这代码告诉我我在 XP 上,而 Request.ServerVariables["SERVER_SOFTWARE"] 告诉我我在 IIS6 上。
答案1
我们无法告诉您“可能导致以下黑客攻击的原因”。您在 Windows XP 上运行面向公众的网站这一事实表明您或您的公司处理此问题的能力。
- 无论是谁设立了这个计划,都不知道自己在做什么。
这也引出了我的其余结论。
- 请聘请适当的顾问来帮助您建立和维护面向公众的网站。
这种特定设置的问题,加上你遗漏了大量信息,使得我们几乎不可能帮助你解决这个问题。无论如何,它可能真的是任何事物导致这次特殊黑客攻击的原因是从 xss 到未修补的 Windows XP 安装。
答案2
您需要使该应用程序脱机。
现在
...并保持离线状态,直到您可以“控制”服务器。如果不是您的,请找一个知道如何管理服务器的人。
如果信息以这种方式添加到您的源代码中,您的服务器就是我们所说的“被黑”。那个盒子不再属于您。可能还有更多您不知道的事情。很可能存在一个完全开放的 FTP 帐户,或者存在某种应用程序漏洞,使站点的源代码可读写。
你提供的信息不够多,无法说明更多。至少,我会拔掉这个系统的网线,直到你弄清楚到底发生了什么。
哦...IIS5.1 是 XP 上的。XP 应该不是被用作面向公众的网络服务器,但那完全是另一回事……
答案3
我猜这很可能是对您的应用程序的 SQL 注入攻击。代码是由数据库动态生成的吗?
审核文件访问以检查哪个帐户正在进行更改。
而且,正如其他人所说的,让服务器脱机。Windows XP 永远不应该运行开发之外的网站。