name keywords etiquetas ejemplos description content security computer-forensics

security - etiquetas - meta name keywords



¿Cómo puedo averiguar*CÓMO*Mi sitio fue pirateado? ¿Cómo encuentro vulnerabilidades del sitio? (8)

Uno de mis sitios desarrollados a medida de ASP.NET fue pirateado hoy: "Hackeado por Swan (¡por favor, detenga la guerra! ...)" Está usando ASP.NET y SQL Server 2005 e IIS 6.0 y el servidor de Windows 2003. No estoy usando Ajax y creo que estoy usando procedimientos almacenados en cualquier lugar que me conecte a la base de datos, así que no creo que sea una inyección SQL . Ahora eliminé el permiso de escritura en las carpetas.

¿Cómo puedo averiguar qué hicieron para hackear el sitio y qué hacer para evitar que vuelva a suceder?

El servidor está actualizado con todas las actualizaciones de Windows.

Lo que han hecho es subir 6 archivos (index.asp, index.html, index.htm, ...) al directorio principal del sitio web.

¿Qué archivos de registro debo cargar? Tengo archivos de registro para IIS desde esta carpeta: c:/winnt/system32/LogFiles/W3SVC1 . Estoy dispuesto a mostrárselo a algunos de ustedes pero no creo que sea bueno publicarlo en Internet. ¿Alguien dispuesto a echarle un vistazo?

Ya he buscado en Google, pero lo único que encuentro son otros sitios que han sido pirateados, no he podido ver ninguna discusión al respecto.

Sé que esto no está estrictamente relacionado con la programación, pero esto sigue siendo una cosa importante para los programadores y muchos programadores han sido pirateados de esta manera.

Es de esperar que haya activado sus archivos de registro de IIS y, con suerte, el hacker no los borró. De forma predeterminada, se encuentran aquí: c: / winnt / system32 / LogFiles / W3SVC1 y generalmente se nombrarán después de la fecha.

Entonces, probablemente sea útil averiguar cómo usar el analizador de registro (de Microsoft), que es gratis. Luego, use esta guía para ayudarlo a observar de manera forense sus archivos de registro. ¿Tiene un firewall porque sus syslogs pueden ser útiles?

Otra herramienta decente para ayudarlo a encontrar problemas de inyección de sql es ir aquí y descargar HP''s Scrawlr.

Si tiene más preguntas sobre lo que ha encontrado, vuelva y pregunte.

Lo primero que debe hacer es verificar sus archivos de registro. Podrías pegarlas aquí, y te diremos si reconocemos un ataque.

Parece que el ataque a su sitio web fue parte de una desfiguración masiva llevada a cabo por SWAN el 21 de noviembre de 2008 contra los cuadros de Windows 2003 y Windows 2000 que ejecutan IIS 6.0. Otros aquí han sugerido una serie de cosas. Solo agregaría que siempre que decida abrir el sitio web, por favor formatee el cuadro y vuelva a instalarlo desde cero. Una vez que se compromete una caja, no se puede confiar en ella, sin embargo, la limpie y la purifique.

Proceso de IIS

Compruebe que su proceso ASPNET no tenga privilegios para escribir archivos en el servidor. Si necesita que el proceso tenga permisos de escritura, permita que solo lo haga en una carpeta específica, y niegue los permisos de ejecución en esa carpeta para todos los derechos de usuario.

Inyección SQL

Para ver a las personas que buscan funciones de SQL, busque en los archivos de registro el siguiente texto, "CAST (".

¿Tiene algún lugar donde crea SQL en el código subyacente para consultar la base de datos? Estos pueden ser propensos a ataques de inyección SQL. Al reemplazar un código como el siguiente, será más seguro.

Dim strSQL As String = "Select * FROM USERS Where name = ''" & Response.Querystring("name") "''"

luego considere una alternativa como la siguiente.

Dim strSQL As String = "Select * FROM USERS Where name = @name"

y luego agregando el PArameter SQL correspondiente al comando sql.

¿Está encendido el FTP?

Una vez tuve un cliente que había dejado su FTP encendido por alguna razón, y el hacker acababa de poner en marcha un bot, probando combinaciones de usuario / contraseña al azar. Ese truco fue peor que el suyo porque no apareció en las páginas web, pero intentó instalar un ActiveX ...

Por lo tanto, puede consultar su registro de FTP.

Bueno, para empezar:

  • ¿Has aplicado un parche a tu servidor?
  • ¿Tiene restos remanentes de cosas como Extensiones de servidor de FrontPage , extensiones de Office para web, etc.?
  • ¿Se ha asegurado de no tener vulnerabilidades de inyección de SQL?
  • ¿Has buscado en Google ese texto, "Hackeado por cisne"? Hay muchos éxitos, tal vez uno de ellos ha descubierto su entrada

Si tiene, o no está seguro, si tiene problemas de inyección de SQL o no, puede seguir preguntando aquí, pero de lo contrario recibiría algunos expertos en seguridad para que lo ayuden.

Este es de hecho un sitio de programación, por lo tanto, a menos que su problema esté relacionado con la programación, lo más probable es que se cierre nuevamente.

Configure Google Analytics y revise todas las solicitudes que se realizaron en su sitio web. Si está tratando con inyección de SQL a través de la cadena de consulta, puede averiguar fácilmente qué hicieron y cómo encontraron sus vulnerabilidades.

Es posible que desee intentarlo utilizando un kit de herramientas de penetración como Metasploit para descubrir cualquier agujero obvio.

Además, publique sus archivos de registro si no están protegidos.