140.129.79.223 - - [01/Aug/2009:13:54:50 +0800] "GET HTTP/1.1 HTTP/1.1" 400 341 "-" "Toata dragostea mea pentru diavola"
140.129.79.223 - - [01/Aug/2009:13:54:50 +0800] "GET /roundcube//bin/msgimport HTTP/1.1" 302 331 "-" "Toata dragostea mea pentru diavola"
140.129.79.223 - - [01/Aug/2009:13:54:51 +0800] "GET /rc//bin/msgimport HTTP/1.1" 302 331 "-" "Toata dragostea mea pentru diavola"
140.129.79.223 - - [01/Aug/2009:13:54:51 +0800] "GET /mss2//bin/msgimport HTTP/1.1" 302 331 "-" "Toata dragostea mea pentru diavola"
140.129.79.223 - - [01/Aug/2009:13:54:51 +0800] "GET /mail//bin/msgimport HTTP/1.1" 302 331 "-" "Toata dragostea mea pentru diavola"
140.129.79.223 - - [01/Aug/2009:13:54:51 +0800] "GET /mail2//bin/msgimport HTTP/1.1" 302 331 "-" "Toata dragostea mea pentru diavola"
140.129.79.223 - - [01/Aug/2009:13:54:52 +0800] "GET /bin/msgimport HTTP/1.1" 302 331 "-" "Toata dragostea mea pentru diavola"
個人不熟悉 windows 架站,所以只使用 Trustix Linux 來架站, 個人直接架在 Internet 上,不經防火牆. 剛開使上機也是睡個覺後,機器就是別人的!
也花了幾千元從書店抱回很多網路安全的書, 大概不外乎[不開不須要的服務,不開用不到的 port], 個人心得是詳加控管 FTP, MAIL,加強安全性補丁.
對 WEB (HTTP) 連線服務的網址內容詳加過慮,如上 LOG 中的 [msgimport],直接回送 404 訊息.
每天看 LOG 檔, 不要客氣
iptables -A -INPUT -i eth0 -p tcp -s 140.129.79.0/24 -j DROP
這樣陽明大學的資通中心(1) 就拒絕往來了!
如果這個 140.129.79.223 是被當跳板,那陽明大學的資通中心功力也 .......
farrari9 wrote:
嗯嗯,有意見可提出你...(恕刪)
個人建議
是你先在前面說
"
看了上面幾位板友的回覆說關了DMZ或不要用DMZ
真不知該說什麼
自己不懂請不要誤導大家
DMZ適合用來放Web server
不相信的人請自行google找一下
資料一大堆。"
你說的這個才是最大錯誤,
DMZ會適合拿來放Web Server
是因為前端還有防火牆或者是IPS
也因為有防火牆還有IPS,所以Web server才能直接放在DMZ區
你後面文章一直強調是"公司"公司"在使用,所以bala bala,
以這篇文章來說,版主都已經說了是在家裡面自己架
有可能買一台好幾萬的firewall嗎?
那用你這種論點來架站 不是死比較快?
對的資訊在錯的地方release,就是錯的
對於版主的建議
因為居易的網路設定有提供簡單的port forward功能
所以請先把主機退到DMZ區以後,
將資料備份後, OS重新安裝 ,若不想改到apache,IIS也一定要打上最新的patch
接著你既然是把電腦架在自己家裡,要管理伺服器就用VPN,不要VNC,mstsc就已經夠用了。
OS一定要重新安裝,以他的作法,一定不是使用密碼破解,一定是用蠕蟲或是軟體或者是木馬漏洞,
進來之後先取得普通user帳號,再取得administrator權限
接著就是把cmd.exe copy一份成為你不知道的執行檔,以後就透過這個來當做終端機
接著再安插一個你登入一定會踩到的陷阱,你每次登入就會幫他開一個port,諸如此類的
所以你以為你改完密碼就ok,事實上完全於事無補
講快一點 就是殭屍明明從窗戶裡面一直爬進來
你卻一直更換你家的大門鎖,有用嗎???
還有既然是自己架站,聽起來也不是太小的站
這台電腦就應該專用,不要拿來收發e-mail或者是下載軟體
再來你的觀念聽起來不是很正確,
你一直在說被入侵,但是一直強調是密碼的問題
事實上被入侵是一連串的可能性
從最外部的ip route ->firmware不夠新?有漏洞?
OS -> OS有蠕蟲?遠端漏洞?
AP -> 被植入木碼?軟體本身有漏洞?
Web server -> web server有漏洞?patch沒上到最新?
都有可能造成這個問題,建議在自己類似知識還未充足之前,
還是考慮把web server轉到專家手上,
或者先多學習資安相關的東西,再來架站
01真是高手如雲,一天就有五頁的回覆,就甘心A~
1.因為用.asp,所以不用IIS的話實在不知道要用什麼了(有找過其他支援IIS的server軟體..)
2.server的更新都有定期在做,vnc的那個漏洞我知道,所以我有特意更新版本,4.4.x的enterprise版,現在是4.5.1,不管如何,我都已經關掉不用了。
3.伺服器在我租屋處,我出去就沒人了,原本為以防萬一所以才開vnc以便在外隨時處理的(也確實派上好多次用場),因為我都到處跑,所以無法鎖定ip。現在vnc已經關掉了。防火牆我才不會去用windows內建的呢:P
4.我有注意windows的使用者帳號,並沒發現有被新增或任何更動到..
5.我server就都給它乖乖當server,從不拿他來上網、灌亂七八糟軟體、下載、寫信或幹其他事的。
6.其實真的不是我不外包、租虛擬主機,我後來流量破表才後悔當初幹嘛寫ms的.asp,ms的虛擬主機超貴的(相對none-ms主機),現在要找win主機規格每月流量一百G以上的,少之又少啊...
7.謝謝大家,從網站一開始我就租虛擬主機,直到流量($$)負荷不了才搬回家,這是頭一次架站,確實好多不懂,所以才幹了dmz對應這種蠢事。現在看了12F tommy618大大說的才恍然大悟(以前都大誤XD),現在已經改port mapping了。26F wessley大大,我真的暴殄天物,對不起,我會再把2910說明書重讀一遍的,謝謝您指點XD
謝謝35F 神戶齊大大分享寶貴的親身經歷
8.整個網站及討論版程式都是我自己寫的,我後來分析覺得個人在程式上技術的不成熟導致本次結果的原因可能較大,我目前還在分析、對照server的事件記錄和IIS的log,資料落落長orz
真是非常感謝各位大大,我做過資料分析後看情況找時間關站一陣子好好處理,第一次搞這個其實一開始我就知道會力有未歹,雖然很懊惱但事到如今還是得先努力度過這個難關才行(租主機要好多小朋友啊):~~
再次謝謝大家提供這麼多寶貴的指導!
內文搜尋
從 APP 打開
X