Ciao questa mattina sul server ho trovato una nuova pagina index.html con questo messaggio..
acid_code wonz your runwindow$
Tutti i siti installati su iis sono stati modificati
Ho fatto partire il server di backup e ho riformattato la macchina.
Sapete spiegarmicome hanno fatto?
Ho notato delle strane visite dagli stati uniti per un paio di giorni e poi il fatto....
La macchina è una NT4 con sp6
Antivirus AVG e firewall outpost.
Grazie ciao
il firewall non serve a nulla in questi casi...
perche' ????????
beh per il semplice motivo che il firewall deve lasciare aperta la porta 80..
ed e' appunto da questa porta che ti hanno attaccato!
consiglioil punto 2 e' il piu' importante.. e penso che tu abbia peccato proprio in questo... e forse anche nel 3)
1)
nei files di log di iis... *.log (dentro windows o winnt)
trovi tutti gli accessi .. cosi' capisci come hanno fatto!
2)
DEVI mettere sempre tutti gli aggiornamenti di windows
con WINDOWS UPDATE regolarmente! e tutti i service packs
3)
se non usi gli script CGI ecc.. cancella le cartelle scripts dentro inetpub ecc....
4)
usa password intelligenti sul server
5)
non condividere files e stampanti sulla connessione internet ma solo nella rete locale!
6)
fatte tutte queste cose...e se non installi spywares o cose simili.. il firewall alla fine non serve molto!
anche l'antivirus non servirebbe non un po' di accortezza nel uso del server...ma per utenti non espertissimi e' meglio usarlo!
ma attenti alle password delle utenze ecc..!
Ciao grazie per la risposta, senti ma al limite che antivirus e firwall consigli su una NT4?
Grazie ancora ciao.
nessun firewall!
ma un po' di accortezza ... nell'attivare o disattivare i servizi!
se il server ha password diverse dagli altri pc in rete...
nessuno ci si logga...
nessuno ci scarica porcherie...
non serve neanche l'antivirus!
metti tutte le patch e service packs
Ciao niente non riesco a far funzionare i servizi come prima.
Ho un mailserver mdeamon su porta 25
Il servizio smtp lo faccio andare sulla porta 8025 ma niente mi rimangono i messaggi nella cartella quaie per il resto funziona tutto.
Qualche idea su come farli partire??
Grazie ciao
la porta 8025 e' aperta?
non puoi usare la porta standard 25 ?
il resto funziona tutto...
come mai non usi il smtp di microsoft ?
Ciao scusa se stresso... non ci vengo a capo..
Gestiamo la posta dei nostri piccoli clienti e
il programma mdeamon è sempre andato bene su nt4 e anche adesso su win2000 server sta andando e occupa la porta 25..
Il server smtp mi serve solo perchè ho bisogno del components cdonts per inviare email e fare mailing ecc ecc...
Prima dell'attacco di ieri i due sistemi convivevano bene anche se non ci ricordiamo che porta poi alla fine abbiamo assegnato al server smtp, visto che l'amministratore..ed io.. della macchina ha formattato tutto.
Ora invece se mando una email dal sito questa arriva e rimane nella cartella queue e il visualizzatore eventi di win2000 mi dice:
"il server remoto non ha risposto al tentativo di connessione"
altre persono cercando su altri forum hanno avuto lo stesso problema ma non ho saputo come hanno risolto.
Credo sia un problema di dns al limite provo a rifare il server.
Grazie
prova a pingare il server di posta!
se e' un problema di dns .. non funzionerà il ping!
controlla che il servizio smtp sia attivo
e configurato dentro IIS nelle prorietà di IIS lo trovi
Ho lo stesso problema tutti i messaggi inviati tramite il server smtp di windos IIS vanno a finire nella cartella queue ho provato a inviare la posta tramite il telnet e mi succede lo stesso.... cosa posso fare?
Ho cercato tanto su internet newsgroup e forum... molti hanno avuto lo stesso problema ma non ho trovato nesuna soluzione...
**-->__->> <<-__<--**
mi ricordo un exploit x questo tipo di configurazione, sfrutta il bug UNICODE x inviare una pagina ASP ke causa un overflow e permette di eseguire codice arbitrario.Originariamente inviato da Pinetto
Sapete spiegarmicome hanno fatto?
La macchina è una NT4 con sp6
Antivirus AVG e firewall outpost.
Grazie ciao
guarda qui
x UNICODE qui
Permessi di invio
Rispondi quotando