主題: IIS 5.0 只開 80埠照樣被入侵

[kuolung]

各位好，我用 linux 做防火牆，後面用 windows 2000 server 加
IIS 5.0 做 WEB SERVER , windows 2000 和 IIS 都只用內定值，
然後 Linux 只開 80 埠轉到 windows 2000 ，我的 windows 照樣被入侵
放一個 index.html 的檔案進去 ，linux 的設定如下

/sbin/iptables -t nat -A PREROUTING -p tcp -d x.x.x.x --dport 80
   -j DNAT --to 172.18.y.y:80

請問該怎麼辦才好  

[Anonymous]

事實上﹐只要有連線存在﹐就有可能被入侵。

關鍵是被連線的程式﹐本身是否存在漏洞﹐以及漏洞是否能被人發現並利用而已。這與 firewall 沒什麼關係啦。

[protech]

我想你應該是 iis 的漏洞沒有去更新 ..

那個 bug 是用 80 port 入侵的 , 所以雖然你只開放 80 port
還素會中標 , 如果你開的是 81 或 8080 可能還沒問題咧 ..

我有一堆客戶堅持要用 windows 2000 ..

我都會建議他們在灌好及完成整個 2000 的 sp1 , sp2 , sp3 之前

不要把對外的網路線插上去 , 因為幾乎是你還來不及做更新時

後門就被放進去了 , 所以你不是換系統 , 就是安裝完之前不要上網 ..

[kuolung]

可是這樣做會有一個問題，因為我這台也是 win 2000 的 ad , 您的意思是
先把 default gateway 不放，還是連網路都不接，而且要上server protect
(防毒) , 也要先連內部的網路

[protech]

我的意思是那台機器在完成更新之前是在單機下完成 ..

就素沒有連上任何的網路系統 ..

至於你說有問題的地方應該是更新時要上網 ..

正常 ms 都要人家上網更新 , 不過由於他那個 iis 的 bug 一直到現在

網路上還是隨時都有人在掃 , 就素那個病毒 ...

所以我們都是把所有的 service pack 燒成 cd 片 , 大概 4xx mb 吧 ..

[Anonymous]

MS 出了一個 Security Tool Pack
裡面有針對 IIS 原本預設一堆有機可趁的服務做 shutdown 的動作...

[kuolung]

我有一個想法，用一台 Linux 做雙向 proxy ，把外面對我的 web server
的連線，也經過這台 proxy ，這樣是不是就比較安全了呢