Sito web rimosso da host.txt

-3

Ho avuto il mio sito clienti appeso oggi. Sembra che un file host.txt sia stato inserito nella cartella principale.

Eseguo un server Windows 2012 R2 e IIS. Il sito Web ha accesso anonimo consentito. Ho impostato il Pool di applicazioni del sito Web per eseguire il sistema locale a causa dei requisiti.

Non sono sicuro di come sia arrivato il file. Conteneva tutti i binding IIS del sito, ma con diversi indirizzi IP.

Sono nuovo in questo tipo di sicurezza e vorrei saperne di più su come è successo e su come posso evitare che ciò accada di nuovo?

    
posta Orion 22.02.2017 - 01:02
fonte

2 risposte

1

Prima di tutto, supponi che il sito sia completamente di proprietà. Qualsiasi cosa tu faccia ora "chiuderà la porta della stalla dopo che i cavalli sono partiti". Non sarai mai sicuro che l'attaccante non possa tornare di nuovo. Se potessero rilasciare un file nella cartella principale, potrebbero aver installato altre cose in altri luoghi.

Passaggio 1: Nuke dall'orbita: è l'unico modo per esserne sicuri.

Può essere doloroso, ma hai bisogno di per ricostruire un nuovo sistema, dal supporto di installazione, e applicare tutti gli aggiornamenti, prima di fare qualsiasi altra cosa.

Dopodiché, come uno dei commenti menzionati, crea un nuovo utente appena non privilegiato per il server web. Installa il server web come utente e non sistema / amministratore.

Ricreare il sito. Non consentire l'accesso anonimo. Registra tutti gli accessi Esamina i log.

Questo è tutto necessario, ma non sufficiente. Ci sono molti modi per compromettere un sistema. Ma questo dovrebbe essere un inizio ragionevole.

"Sono nuovo in questo tipo di sicurezza" è un buon posto dove fare domande, ma non è un buon posto dove amministrare un sistema. C'è molto da imparare.

Spero che questo sia di qualche utilità.

    
risposta data 23.02.2017 - 02:48
fonte
0

Dopo aver rimosso le autorizzazioni di modifica e scrittura dalla cartella principale del mio sito Web, posso confermare che i file non vengono inseriti a caso nella directory principale del mio sito web. Ho ancora accesso anonimo abilitato. Ma ora sembra che l'intruso non possa posizionare i file nella root del mio sito web.

    
risposta data 25.02.2017 - 05:00
fonte

Leggi altre domande sui tag