Ciao a tutti,
il mio grave problema.
Mi hanno bucato IIS 5.
Ho trovato sul server due file html e htm che io non avevo messo un file www.arplhmd.cjb.net_153543 e una immagine porno.
come è possibile che qualcuno sia entrato?
Il server è sempre aggiornato e le password non sono semplici cosa posso fare?
Ciao
INNANZITUTTO AL POSTO TUO MI GUARDEREI I LOG.
L'ho fatto ci sono accessi ftp che non conosco, e non so come poterli bloccare
prima di tutto dai log dovresti capire se è stato bucato il server web o quello ftp.
in che senso ci sono accessi ftp che non conosci?
Leggi il REGOLAMENTO!
E' molto complicato, un mucchio di input e output, una quantità di informazioni, un mucchio di elementi da considerare, ho una quantità di elementi da tener presente...
Drugo
Ciao
Scusa ero fuori ufficio
questo è quello che appare nel log
un user anonymous e una pass che non conosco
scusa ma se hai lasciato un account anonymous è logico che chiunque possa entrare! (di regola non serve neanche una password)
Leggi il REGOLAMENTO!
E' molto complicato, un mucchio di input e output, una quantità di informazioni, un mucchio di elementi da considerare, ho una quantità di elementi da tener presente...
Drugo
Non credo di aver lasciato un account anoymous sul Computer Management non c'è un anonymous e neanche nelle directory virtuali FTP dell'IIS dove posso vedere se esiste un account anonymous e poterlo chiudere?
Nelle proprietà del default FTP Site non è ceccato Allow Anonymous Connections
E non so dove altro guardare
In Computer Management, oltre agli account che ho creato io, ci sono IWAM_TOWN-2, IUSER_TOWN-2. non so a coda servono?
Possono essere loro??
Town2 presumo sia il nome del pc. Comunque ti consiglio di fare un bel netstat per capire quali porte ti sono rimaste aperte. Poi su quei due account vai a vedere che privilegi sono stati settati.
Scusa la mia ignoranza che cosa è un netstat e come si fa?
Grazie
Permessi di invio
Rispondi quotando