Det er en amatør der har lavet det - en 'professionel' ville have lagt
en ny ftp server på serveren (typisk serv-u omdøbt til et mindre
opsigtvækkende navn)
Jeg er alt andet end ekpert i IIS men jeg tror roligt jeg kan anbefale
Microsofts eget værktøj til 'hardening' af IIS'en - den bør lukke alle
de gængse sikkerhedsbrister.
mvh.
Uffe
Jens Gyldenkærne Clausen wrote:
> Jimmy skrev:
>
>
>>Jeg gætter - da du ikke har skrevet noget om det - at det er
>>en Windows server.
>
>
> Åh ja, beklager.
>
> Det er en Windows2000-server (IIS5).
>
>
>
>>Det er vel det typiske Frontpage Extensions attack, hvor alle
>>kan uploade filer via browseren og linke til dem fra
>>warez-sites.
>
>
> Det tror jeg faktisk ikke. Webroden er ikke rørt, de oploadede
> filer er placeret i ftp-roden.
>
> Jeg kan se i loggen at der er benyttet anonym ftp-adgang til at
> oploade med. Hvornår og hvordan den anonyme ftp-adgang er blevet
> tilladt kan jeg ikke umiddelbart se.
>
> Jeg har fjernet skrive-tilladelsen for IUSR-kontoen nu og lukket
> ftp-servicen helt ned. Er det en brugbar løsning eller skal
> serveren kobles helt af?
>
> Mulige angrebsmetoder kunne være via nogle filer lagt i webroden
> (se tilsvarende filer fra et andet site her:
> <
http://kortlink.dk/5eh>)
>
> - eller måske via filen msusys.exe (der ser ud til at være en form
> for ftp-utility). Jeg har flyttet ovenstående filer væk fra
> webserveren for en sikkerheds skyld. Jeg kan ikke afgøre om det er
> harmløse filer lagt ind af en ansat i firmaet eller om det er filer
> brugt til at hacke serveren med.