托管我的一些个人博客的 Windows Server 2008 Web 版本已遭到黑客攻击,我的所有 php 文件都被注入,而该博客甚至尚未活跃。
密码很长,大约 50 个字符。那么黑客是如何做到的呢?在网上搜索时,我偶然发现了这一点:
http://www.argeniss.com/pressrel032408.html
“Argeniss 发现的问题源于微软工程师在安全开发生命周期 (SDL) 期间未发现的设计问题,并允许 Windows 服务 (网络服务和本地服务) 常用的帐户绕过新的 Windows 服务保护机制并提升权限,从而实现对操作系统的完全控制。
Argeniss 的发现还影响了默认配置下的 Internet Information Services 7,从而使 ASP .NET 应用程序彻底危及操作系统安全。”
它提到的是 asp.net 而不是 php 但也许它在 IIS 上使用了一些东西?
那么我如何知道以及如何真正保护我的服务器?
更新:SQL 数据库未受影响,它直接来自 Wordpress 的 PHP 代码。令我担心的是,有些博客已被黑客入侵,而它们在 IIS7 中并不活跃,因此它不是来自 Wordpress 或 mysql。
答案1
首先,在2008 年 3 月现在已经修复。根据塞库尼亚,IIS 7.x 中目前没有未修补的漏洞
根据您提供的详细信息,几乎不可能评估您的系统有多“安全”(尽管听起来不是很坚固)。
"my php files injected"
你的意思到底是什么?如果有人因为你没有执行输入验证而设法将漏洞代码存储在数据库中,那么这不是服务器安全的问题,而是博客应用程序的安全问题。Web 应用程序中存在漏洞的代码与存在漏洞的服务器软件或配置不当的服务器软件一样糟糕。
如果我把车锁上,但所有车窗都打开,那么当车被盗时,我不能责怪车门锁。
答案2
更新:SQL 数据库未受影响,它直接来自 Wordpress 的 PHP 代码。令我担心的是,有些博客已被黑客入侵,而它们在 IIS7 中并不活跃,因此它不是来自 Wordpress 或 mysql。
当然,您的数据库已被入侵 - 根据定义,如果进行了无法通过 IIS 进行的更新(因为网站未处于活动状态),那么您的数据库已受到入侵。问题是,是数据库先受到入侵,还是 IIS 服务器先受到入侵。我的猜测是,这是一次 SQL 注入攻击,允许攻击者修改 Web 服务器上的文件。
答案3
刚收到网站托管公司的警告
http://technet.microsoft.com/en-us/security/bulletin/ms12-020
Microsoft 安全公告 MS12-020 - 远程桌面中的严重漏洞可能允许远程代码执行 (2671387)