Vdor v strežnik (IIS, Windows Server 2008 R2)

Ker sam nimam več idej, kako bi zakrpal luknjo na svojem strežniku, povprašam za nasvet še tukaj na forumu. Skratka, strežnik z Windows Server 2008 R2, ki ga med drugim uporabljam za gostovanje lastnih .NET rešitev, obenem pa imam na njem še par starejših spletnih strani od kolegov in znancev, je pred kratkim doživel več vdorov.

V 5 letih, odkar je strežnik online, še nisem bil priča čem podobnem. Strežnik se redno posodablja z Windows Updates, Firewall je aktiven tako na routerju kot na strežniku. Pred dobrim tednom dni sem od cert.si prejel e-mail, da so naših spletnih straneh zaznali "defacement" napad. Torej, hackerjem je uspelo nekako uploadati naključne datoteke (bodisi .txt ali .php), v katerih so se podpisali. Druge škode niso naredili. Datoteke sem nemudoma pobrisal in pričel iskati luknjo, kako je lahko do tega prišlo. Datoteke so se namreč pojavile na root mapi praktično vseh spletnih strani.

Sprva sem posumil na FTP, vendar je le-ta že na nivoju routerja zaščiten, da se lahko do njega dostopa le iz nekaj znanih statičnih IP številk (npr. moja domača lokacija itd.). Enako so zaščiteni tudi SVN in RDP. Navzven je torej odprt le port 80. Drugi pomislek je bila ena izmed teh starejših strani, saj sem pri prvem vdoru v logih zasledil, da so prvo datoteko uploadali ravno na strani, ki jo gostujem za znanca in že od samega začetka ni bila posodobljena (pred leti mu jo je nekdo postavil na odprtokodni platformi Joomla 1.x). Preko image handlerja so uspeli uploadati .gif datoteko, ki ni bila .gif slikca temveč koda, ki je dopustila, da so naknadno uploadali še .php datoteko. Stran sem nemudoma deaktiviral in pobrisal uploadano. Nato je bilo 2 dni zatišja, stran sem pustil do nadaljnega deaktivirano, iznenada pa ponovni vdor. V zadnjem tednu dni sem tako vztrajno brisal datoteke, ki mi jih naključni hackerji uploadajo v root mape spletnih strani. Glede na pogostost vdorov, imam ravno takšen občutek, kot da bi se me podajali med seboj :) Vse datoteke, ki jih uploadajo si jih tudi sproti shranjujem, čeprav so povečini kriptirane, tako da na prvi pogled težko ugotoviš, kaj so poleg podpisa, želeli narediti.

Skratka, počasi izgubljam ideje, kaj še preveriti in kako zaščititi strežnik pred tovrstnimi dogodki. Nekateri hackerji se podpišejo tudi z e-mailom ali FB kontaktom, vendar sem verjetno prevelik optimist, da bi mi kateri izmed njih razkril, kako jim uspeva :)
Je možno, da ima že sam IIS kakšno varnostno luknjo, klub temu, da je strežnik up-to-date?

Za kakršenkoli nasvet se že vnaprej zahvaljujem!

23 odgovorov

Sem imel podoben primer na linuxu. Hec je, da se potem hvalijo na svojih fb profilih in objavljajo linke, skripte in celo navodila. Tako lahko vsak kekec vdre nazaj, dokler pač ne zakrpaš luknje.
Jaz sem blokiral za slo strani turke in ruse, pa je zaenkrat mir.

Res je, en izmed zadnjih hackerjev je pustil FB kontakt in po pregledu njegovega profila opažam, da je objavil povezave do vseh strani, ki jim je uspel namestiti datoteko v root.

Prihajajo pa iz vseh koncev (Brazilija, Algerija, Maroko, Tunizija, Španija, ...), tako da bi raje zadevo nekako zakrpal, kot zablokiral promet iz tujine.

To so tako imenovani script kiddie heckerji, kateri ne delajo škode ubistvi.
Tudi sam bi blokiral ruskote, turke pa še kitajčke.
Ko sem imel doma postavljen server za poskus so kitajčki skozi po njemu šarili sej jim dovolil seveda.

Ne vem nekaj nasvetov če bodo prav prišli:
-Vse kar ne rabiš izklopi zapri (od portov, do programov...ne uporabljaj standardnih portov)
-Kupi dober Firewall (hardverski če ga že nimaš)
-Uporabi http://www.microsoft.com/en-us/download/details.aspx?id=7558 terhttp://technet.microsoft.com/en-us/library/dd450372(v=ws.10).aspx
Prebersi na spletu navodila, saj lahko samodejno spremenijo nekatere konfiguracije.
-Za nekaj dni bi zaklenil uporabniške račune FTP, da nimajo administratorksega dostopa in potem videl kaj se dogaja ( če seveda lahko to narediš).

Drugega ne bi vedel, mogoče so te ideje kar nekaj upam da ti bodo kaj pomagale, drugače počakaj da se oglasijo Žabci,NAS-T1,NEO Serverji, E-Strežniki na forumu ti bodo znali svetovati ;)!

1

Škode zaenkrat res nihče ni naredil, je pa dokaj neprijeten občutek - podobno kot da bi vedel, da ima nekdo ključ tvojega stanovanja in ob naključnih dnevih pride v dnevno sobo in se podpiše na list papirja :)

Porte imam že sedaj nestandardne ter zaščitene na IP številke, tako da lahko dostopam do teh servisov (FTP, RDP) le iz nekaterih statičnih IP številk znanih lokacij. Izjema je le port 80, na katerem poteka WWW promet.

Vsem tem starejšim stranem, ki jih gostujem in niti niso bile naše delo ter so postavljene na odprtokodnih CMS sistemih (Joomla itd.), sem začasno omejil dostop na obiskovalce zgolj iz Slovenije, saj so vse po vrsti predstavitve lokalnih dejavnosti in načeloma za tuje obiskovalce ne pridejo v poštev. Res pa je, da sem s tem zablokiral tudi Googlebot in podobne pajke. Vendar še vedno bolje, kot pa da so popolnoma nedosegljive v času testiranja.
Pravilo IP številk sem nastavil s pomočjo naslednjega orodja:
http://www.ryanaverill.com/2012/08/iis-blockredirect-ip-ip-ranges-or.html

To sicer ni tista prava rešitev, ki bi jo človek želel, saj moram ugotoviti, kje pridejo notri. Če bi šlo zares in bi nekdo načrtno želel narediti večjo škodo, bo verjetno hitro našel kakšen proxy, da se bo navzven predstavljal z domačo IP številko in zaobiti to zaščito.

1

Rešitev je preprosta! Spend more money for security / firewall!

Sam sicer uporabljam tega,ampak se shera z nekaj drugim uporabniki
http://www.aliexpress.com/item/cisco-ASA5520-SSL500-K9-Cisco-Firewalls-New-smart-in-stock/1510039704.html

maš tut cenejše po 1.500$

1

Lahko, da se motim, vendar se mi zdi, da mi router za $21.000 ne bi prav nič pripomogel pri konkretnem primeru, saj jim očitno uspe priti v strežnik skozi port 80, ki mora v vsakem primeru ostati odprt, saj na njem poteka www promet.

Trenutno imam na sumu, da bi znal biti šibka točka nameščen PHP na IIS 7.5, saj mi že prvi rezultat iskanja "IIS 7.5 exploit" postreže z zanimivimi informacijami:
http://www.exploit-db.com/exploits/19033/

Urosbe priporomorejo. Teli novi ngfw snifa promet za znane fingerprinte.

Asa je se je pri naših testih sicer bolj slabo odrezala, če pa hočeš poročilo pa zs.

@urosbe: ce se je stvar zacela s staro Joomlo, potem je vektor napada verjetno še vedno le-ta. Skrbno preglej datotečni sistem za ostalimi malware datotekami, ki jih je aplikacija naložila. Ponavadi se datoteke razmnožijo v kar precej različnih poddirektorijev, tako da imajo "backup" za kasneje, ko jih nekaj pobrišeš.

Še bolje bi bilo Joomlo 1.x odstraniti, ker je zdaj zunaj že 3.x.

Če bi se profesionalno ukvarjali z gostovanjem spletnih strani, bi definitivno razmišljal v tej smeri (nakup profesionalne opreme za zaščito), tako pa je strežnik bolj kot ne v uporabi zgolj za interne zadeve. Zaenkrat sem zadevo "zaščitil" tako, da sem PHP dovolil poganjati zgolj na tistih nekaj web site-ih, pri vseh ostalih pa strogo zgolj .NET, v čemer so projekti tudi razviti. Strani s CMS-ji v ozadju (razne Joomle itd.) pa sem dodatno zaščitil še z IP številkami za slovenske obiskovalce + Googlebot. Poročam čez par dni, če sem s tem kaj pridobil.

@suprpp: Se strinjam, to bi bilo nujno potrebno, vendar nimam ne časa, ne volje, da bi nadgrajeval neko staro spletno vizitko, ki brezplačno gostuje pri meni (kot rečeno od znancev ali kolegov). Če pride še do kakšnega vdora, bom za nekaj dni popolnoma ugasnil vse Joomla strani in spremljal dalje :)