主題: 請問 int3rc3pt0r page 的問題

[lonq]

如題，駭客會改掉你 web server的首頁，變成一個留有自己暱稱 int3rc3pt0r的頁面，請問有高手知道這個技術是如何入侵並置換掉首頁的嗎?

[日京三子]

作業系統? web server軟體? 安全更新做了沒? rpc軟體更新了沒? 防火牆怎麼紀錄的?

--------

有點想踢到雜七雜八區的感覺...... 然後準備放刪除區........

[lonq]

作業系統? web server軟體? 安全更新做了沒? rpc軟體更新了沒? 防火牆怎麼紀錄的?

--------

有點想踢到雜七雜八區的感覺...... 然後準備放刪除區........

作業系統是win2000 server, iis5, 安全更新有，rpc我不太懂，防火牆看起來正常，事件檢視簿上缺了一大段重要時間的紀錄(不知道是不是被擦掉了)。
我比較想知道的是如何預防這一種駭客(會放 int3rc3pt0r page 這種)，以及他是如何入侵的，還有更重要的，到底有沒有被放了後門?

[日京三子]

作業系統? web server軟體? 安全更新做了沒? rpc軟體更新了沒? 防火牆怎麼紀錄的?

--------

有點想踢到雜七雜八區的感覺...... 然後準備放刪除區........

作業系統是win2000 server, iis5, 安全更新有，rpc我不太懂，防火牆看起來正常，事件檢視簿上缺了一大段重要時間的紀錄(不知道是不是被擦掉了)。
我比較想知道的是如何預防這一種駭客(會放 int3rc3pt0r page 這種)，以及他是如何入侵的，還有更重要的，到底有沒有被放了後門?

缺了一大段重要時間紀錄!!

防毒軟體有回報些甚麼嗎? 防火牆紀錄呢? 你的webaccess有過甚麼紀錄? 對方是用甚麼方式連線過來的? (通常是呼叫IIS本身的漏洞參數, 必須更新才有解) 安全性更新有缺漏嗎?

如果有任何疑慮, 要做好準備重裝的心理準備...  除非你知道對方的手法, 不然要清除的困難度很高... 此外, 檢討一下你安全疏失也是很重要的, 別讓你這次的慘痛, 下次還是中同樣的一招....

[lonq]

缺了一大段重要時間紀錄!!

防毒軟體有回報些甚麼嗎? 防火牆紀錄呢? 你的webaccess有過甚麼紀錄? 對方是用甚麼方式連線過來的? (通常是呼叫IIS本身的漏洞參數, 必須更新才有解) 安全性更新有缺漏嗎?

如果有任何疑慮, 要做好準備重裝的心理準備...  除非你知道對方的手法, 不然要清除的困難度很高... 此外, 檢討一下你安全疏失也是很重要的, 別讓你這次的慘痛, 下次還是中同樣的一招....

我查了iis log，看不出有什麼異常，除了一些想用溢位方式來入侵的人之外(就是那種放了很多xxxxxxxxxxxxxxxxxxxxxxxx之後再放什麼%u090%之類的)，也就是說我看不出有問題的連線是那一個，windows updates都有做，其實目前已重灌了，只是如你所說的怕再中同一招，所以才想知道到底是怎麼被駭的。另外，那台server上有sql server，有沒有可能是從這裡下手的?比如說什麼sql injection之類的。
其實我在google上查過，跟我中同一招的人還不少，都是首頁被換成int3rc3pt0r page，但是上面討論到實際上問題的網站實在很少。

[日京三子]

我查了iis log，看不出有什麼異常，除了一些想用溢位方式來入侵的人之外(就是那種放了很多xxxxxxxxxxxxxxxxxxxxxxxx之後再放什麼%u090%之類的)，也就是說我看不出有問題的連線是那一個，windows updates都有做，其實目前已重灌了，只是如你所說的怕再中同一招，所以才想知道到底是怎麼被駭的。另外，那台server上有sql server，有沒有可能是從這裡下手的?比如說什麼sql injection之類的。
其實我在google上查過，跟我中同一招的人還不少，都是首頁被換成int3rc3pt0r page，但是上面討論到實際上問題的網站實在很少。

MicroSoft很多系統安全更新並不是放在WindowsUpdate裡面, 而是必須自己手動去一個一個下載...... 你該不會是忘記去"按時收看"吧? 裡面有很多套件唷!

請看這裡