.png)
我一直在帮助一家小型托管公司。他们的服务器提供 Windows 和 IIS 的 .NET 托管。对于客户管理、域名创建等,他们使用 Paralells Plesk,效果很好。
似乎在生成统计信息的过程中,“Perl.exe”用于解析 IIS 日志文件。今天我们发现一些用户感染了名为 Gootkit 的 DOS 系统。在 cgi-bin 文件夹中发现了大量恶意脚本。我不知道具体是如何调用的,但它们以某种方式被调用(并通过 Perl 以他的 IUSR 用户身份执行)。
我们已经隔离了这些脚本,问题现在已经停止。我们还在 Windows 中向攻击的目标 IP 添加了一条虚假路由,以阻止流量的输出。
除了这些特定的反应措施之外,我还在想:首先,您必须遵循哪些正确的检查清单才能防止这些问题?目前,Windows 防火墙处于活动状态并正在运行,卡巴斯基 AV 已到位,并且有一个硬件防火墙。然而,简单地上传和调用这些脚本会导致网络接口 100% 工作,影响数据中心的所有机器。
我们如何才能更好地保护我们的服务器?
答案1
我们的一位客户也受到了类似的影响,文件通过 POST 请求上传到 URI /plesk/client@{客户端号码}/domain@{域名号码}/hosting/file-manager/create-file
我相信,它们是由网络请求调用的,通常包含目标和攻击类型(SYN 洪水等)。
为了防止再次发生这种情况,请确保您运行的是最新版本的 Plesk,确保所有密码都是强密码,最重要的是 - 确保该服务器上没有任何 SQLi 漏洞。Plesk 以纯文本形式存储用户密码,因此如果攻击者可以运行任意 SQL,他们就可以检索它、登录并上传文件。