Vdor v strežnik (IIS, Windows Server 2008 R2)

Ker sam nimam več idej, kako bi zakrpal luknjo na svojem strežniku, povprašam za nasvet še tukaj na forumu. Skratka, strežnik z Windows Server 2008 R2, ki ga med drugim uporabljam za gostovanje lastnih .NET rešitev, obenem pa imam na njem še par starejših spletnih strani od kolegov in znancev, je pred kratkim doživel več vdorov.

V 5 letih, odkar je strežnik online, še nisem bil priča čem podobnem. Strežnik se redno posodablja z Windows Updates, Firewall je aktiven tako na routerju kot na strežniku. Pred dobrim tednom dni sem od cert.si prejel e-mail, da so naših spletnih straneh zaznali "defacement" napad. Torej, hackerjem je uspelo nekako uploadati naključne datoteke (bodisi .txt ali .php), v katerih so se podpisali. Druge škode niso naredili. Datoteke sem nemudoma pobrisal in pričel iskati luknjo, kako je lahko do tega prišlo. Datoteke so se namreč pojavile na root mapi praktično vseh spletnih strani.

Sprva sem posumil na FTP, vendar je le-ta že na nivoju routerja zaščiten, da se lahko do njega dostopa le iz nekaj znanih statičnih IP številk (npr. moja domača lokacija itd.). Enako so zaščiteni tudi SVN in RDP. Navzven je torej odprt le port 80. Drugi pomislek je bila ena izmed teh starejših strani, saj sem pri prvem vdoru v logih zasledil, da so prvo datoteko uploadali ravno na strani, ki jo gostujem za znanca in že od samega začetka ni bila posodobljena (pred leti mu jo je nekdo postavil na odprtokodni platformi Joomla 1.x). Preko image handlerja so uspeli uploadati .gif datoteko, ki ni bila .gif slikca temveč koda, ki je dopustila, da so naknadno uploadali še .php datoteko. Stran sem nemudoma deaktiviral in pobrisal uploadano. Nato je bilo 2 dni zatišja, stran sem pustil do nadaljnega deaktivirano, iznenada pa ponovni vdor. V zadnjem tednu dni sem tako vztrajno brisal datoteke, ki mi jih naključni hackerji uploadajo v root mape spletnih strani. Glede na pogostost vdorov, imam ravno takšen občutek, kot da bi se me podajali med seboj :) Vse datoteke, ki jih uploadajo si jih tudi sproti shranjujem, čeprav so povečini kriptirane, tako da na prvi pogled težko ugotoviš, kaj so poleg podpisa, želeli narediti.

Skratka, počasi izgubljam ideje, kaj še preveriti in kako zaščititi strežnik pred tovrstnimi dogodki. Nekateri hackerji se podpišejo tudi z e-mailom ali FB kontaktom, vendar sem verjetno prevelik optimist, da bi mi kateri izmed njih razkril, kako jim uspeva :)
Je možno, da ima že sam IIS kakšno varnostno luknjo, klub temu, da je strežnik up-to-date?

Za kakršenkoli nasvet se že vnaprej zahvaljujem!

23 odgovorov

Poskusi testirati strežnik še z Nessus-em mogoče bo vrgel kaj zanimivega ven ne vem.

@urosbe: Verjamem. Ce je mozno, pridobi seznam datotek iz te Joomle, ki so bile spremenjene ali nalozene dne, ko je prislo do prvega vdora - ali kasneje. S tem ponavadi najdes ves malware, ki se je v tem casu namestil.

Jaz imam eno precej enostavno resitev za tak primer - stara joomla, vizitka, ki se pravzaprav ne spreminja ... Enostavno celotno stran preberes s pajkom in objavis staticno stran, joomlo pa pobrises :)

2

@Perun: Kot bi mi bral misli - imam enako idejo, saj so vsebine strani že več let nedotaknjene in povečini gre prav za spletne vizitke z nekaj zavihki. Pa še znebim se 36.000+ datotek in nekaj podatkovnih baz :)

Tu zna nastati problem pri kakšnih obrazcih ipd.
Kjer ne boš uspešen s prenosom, zaščiti admin mape s htaccess geslom. Meni je nucalo.

Poglej si še disable_functions v php.ini in onemogoči vse "nevarne" funkcije.

  • preveri ali ima vsak site nastavljen svoj documentroot, da ne moreš iz enega sajta dostopati do datotek drugih strani.... To bi sicer morale v osnovi že user pravice omejevati (vsak site svoje), pa tudi nastavitve web serverja (documentroot).....

To lahko pa zelo enostavno preveriš, če je na kakšni joomli še kak explorer plugin. Če vidiš še vse ostale domene, si v riti;)

Z Joomlo in PHP res nimam pretiranih izkušenj, tako da bosta verjetno oba slej ko prej letela iz strežnika :)

Če ima kdo izmed vas kaj hekerske krvi in bi se rad malo izživljal, pa naj mi napiše ZS in mu pošljem url naslove teh Joomla strani. Če bi delil svoje ugotovitve potem tukaj na forumu, da se vsi kaj naučimo, bi bilo pa sploh zanimivo branje.

Na fiverrju mas par script kiddijev, ki ti lahko naredijo report za luknje.

1