File del sito Web modificato

Naviga le tue risposte
3

Recentemente ho inserito collegamenti spam casuali in 3 siti Web ASP.NET. I collegamenti vengono inseriti nel file fisico, quindi non è un attacco di SQL injection.

I siti Web hanno pochissime cose in comune oltre a ASP.NET, 2 sono MVC e 1 è webform, 2 sono c # e 1 è VB, ecc.

Il server è Windows 2003 con IIS6 e sono stati installati tutti gli aggiornamenti di sicurezza. FTP è stato spento durante la notte e si è verificato ancora un attacco.

Qualche idea su come iniziare a risolverlo?

EDIT: Risulta che gli ultimi aggiornamenti non sono stati installati (l'ultimo aggiornamento era giugno 2010), quindi dovrò installare tutti quelli prima prima di approfondire ulteriormente.

EDIT 2: Ultimi aggiornamenti installati e il problema deve ancora ripresentarsi. Chalk one up per mantenere aggiornato il server.

    
posta William Hurst 14.12.2011 - 20:03
fonte

2 risposte

2

File di registro sul server? Sarebbe un inizio per vedere cosa sta succedendo. Controlla anche i controlli di accesso per il sito e il server. Ma se il server è stato compromesso, questi non saranno affidabili.

    
risposta data 14.12.2011 - 20:26
fonte
2

Utilizza un correttore di integrità dei file come Tripwire (commerciale) o AIDE (gratuito) per vedere quali file sono stati modificati, potrebbe darti un'idea di ciò che sta accadendo e avrai anche un modo rapido per individuare i file modificati.

Dovresti anche ispezionare i registri del server per attività sospette, controllare se lo script di caricamento dei file è implementato correttamente (non caricare in URL prevedibile, autorizzazioni corrette - i file caricati non dovrebbero avere il permesso di essere eseguiti).

    
risposta data 15.12.2011 - 08:59
fonte

Leggi altre domande sui tag

ECC per futuri dispositivi IoT? Che cos'è il malware multi-path?