作者 主題: 請問 int3rc3pt0r page 的問題  (閱讀 5075 次)

0 會員 與 1 訪客 正在閱讀本文。

lonq

  • 可愛的小學生
  • *
  • 文章數: 6
    • 檢視個人資料
請問 int3rc3pt0r page 的問題
« 於: 2004-03-15 10:55 »
如題,駭客會改掉你 web server的首頁,變成一個留有自己暱稱 int3rc3pt0r的頁面,請問有高手知道這個技術是如何入侵並置換掉首頁的嗎? :)

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8830
    • 檢視個人資料
    • http://www.24online.cjb.net
請問 int3rc3pt0r page 的問題
« 回覆 #1 於: 2004-03-15 11:03 »
作業系統? web server軟體? 安全更新做了沒? rpc軟體更新了沒? 防火牆怎麼紀錄的?

--------

有點想踢到雜七雜八區的感覺...... 然後準備放刪除區........
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

lonq

  • 可愛的小學生
  • *
  • 文章數: 6
    • 檢視個人資料
請問 int3rc3pt0r page 的問題
« 回覆 #2 於: 2004-03-15 12:41 »
引述: "日京三子"
作業系統? web server軟體? 安全更新做了沒? rpc軟體更新了沒? 防火牆怎麼紀錄的?

--------

有點想踢到雜七雜八區的感覺...... 然後準備放刪除區........


作業系統是win2000 server, iis5, 安全更新有,rpc我不太懂,防火牆看起來正常,事件檢視簿上缺了一大段重要時間的紀錄(不知道是不是被擦掉了)。
我比較想知道的是如何預防這一種駭客(會放 int3rc3pt0r page 這種),以及他是如何入侵的,還有更重要的,到底有沒有被放了後門?

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8830
    • 檢視個人資料
    • http://www.24online.cjb.net
請問 int3rc3pt0r page 的問題
« 回覆 #3 於: 2004-03-15 14:00 »
引述: "lonq"
引述: "日京三子"
作業系統? web server軟體? 安全更新做了沒? rpc軟體更新了沒? 防火牆怎麼紀錄的?

--------

有點想踢到雜七雜八區的感覺...... 然後準備放刪除區........


作業系統是win2000 server, iis5, 安全更新有,rpc我不太懂,防火牆看起來正常,事件檢視簿上缺了一大段重要時間的紀錄(不知道是不是被擦掉了)。
我比較想知道的是如何預防這一種駭客(會放 int3rc3pt0r page 這種),以及他是如何入侵的,還有更重要的,到底有沒有被放了後門?


缺了一大段重要時間紀錄!! :o

防毒軟體有回報些甚麼嗎? 防火牆紀錄呢? 你的webaccess有過甚麼紀錄? 對方是用甚麼方式連線過來的? (通常是呼叫IIS本身的漏洞參數, 必須更新才有解) 安全性更新有缺漏嗎?

如果有任何疑慮, 要做好準備重裝的心理準備...  除非你知道對方的手法, 不然要清除的困難度很高... 此外, 檢討一下你安全疏失也是很重要的, 別讓你這次的慘痛, 下次還是中同樣的一招....
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

lonq

  • 可愛的小學生
  • *
  • 文章數: 6
    • 檢視個人資料
請問 int3rc3pt0r page 的問題
« 回覆 #4 於: 2004-03-15 14:39 »
引述: "日京三子"

缺了一大段重要時間紀錄!! :o

防毒軟體有回報些甚麼嗎? 防火牆紀錄呢? 你的webaccess有過甚麼紀錄? 對方是用甚麼方式連線過來的? (通常是呼叫IIS本身的漏洞參數, 必須更新才有解) 安全性更新有缺漏嗎?

如果有任何疑慮, 要做好準備重裝的心理準備...  除非你知道對方的手法, 不然要清除的困難度很高... 此外, 檢討一下你安全疏失也是很重要的, 別讓你這次的慘痛, 下次還是中同樣的一招....


我查了iis log,看不出有什麼異常,除了一些想用溢位方式來入侵的人之外(就是那種放了很多xxxxxxxxxxxxxxxxxxxxxxxx之後再放什麼%u090%之類的),也就是說我看不出有問題的連線是那一個,windows updates都有做,其實目前已重灌了,只是如你所說的怕再中同一招,所以才想知道到底是怎麼被駭的。另外,那台server上有sql server,有沒有可能是從這裡下手的?比如說什麼sql injection之類的。
其實我在google上查過,跟我中同一招的人還不少,都是首頁被換成int3rc3pt0r page,但是上面討論到實際上問題的網站實在很少。

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8830
    • 檢視個人資料
    • http://www.24online.cjb.net
請問 int3rc3pt0r page 的問題
« 回覆 #5 於: 2004-03-15 15:02 »
引述: "lonq"
我查了iis log,看不出有什麼異常,除了一些想用溢位方式來入侵的人之外(就是那種放了很多xxxxxxxxxxxxxxxxxxxxxxxx之後再放什麼%u090%之類的),也就是說我看不出有問題的連線是那一個,windows updates都有做,其實目前已重灌了,只是如你所說的怕再中同一招,所以才想知道到底是怎麼被駭的。另外,那台server上有sql server,有沒有可能是從這裡下手的?比如說什麼sql injection之類的。
其實我在google上查過,跟我中同一招的人還不少,都是首頁被換成int3rc3pt0r page,但是上面討論到實際上問題的網站實在很少。


MicroSoft很多系統安全更新並不是放在WindowsUpdate裡面, 而是必須自己手動去一個一個下載...... 你該不會是忘記去"按時收看"吧? 裡面有很多套件唷!

請看這裡
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。