Windows
防止 DOS 套件 (Gootkit)
我一直在幫助一家小型託管公司。他們有提供帶有 Windows 和 IIS 的 .NET 託管的伺服器。對於客戶管理,域創建是他們使用的這種東西,Paralells Plesk 效果很好。
似乎在生成統計資訊的過程中,“Perl.exe”用於解析 IIS 日誌文件。今天我們發現一些使用者被稱為Gootkit的DOS系統感染。在 cgi-bin 文件夾中發現了很多惡意腳本。我不確切知道如何,但它們以某種方式被呼叫(並通過 Perl 與他的 IUSR 使用者一起執行)。
我們已經隔離了這些腳本,問題現在已經停止。我們還在 Windows 中添加了到攻擊目標 IP 的虛假路由,以防止流量輸出。
除了這些特定的反應行動之外,我想知道:為了防止這些問題,您必須遵循的正確清單是什麼?目前,Windows 防火牆處於活動狀態並正在執行,卡巴斯基 AV 已到位,並且有硬體防火牆到位。然而,這些腳本的簡單上傳和呼叫已經導致網路介面 100% 工作,影響數據中心的所有機器。
我們如何才能更好地保護我們的伺服器?
我們的一位客戶也受到了類似的影響,文件通過 POST 請求上傳到 URI /plesk/client@{client number}/domain@{domain number}/hosting/file-manager/create-file
我相信它們是由通常包括目標和攻擊類型(SYN 洪水等)的 Web 請求呼叫的。
為防止它再次發生,請確保您執行的是最新版本的 Plesk,確保所有密碼都是強密碼,最重要的是 - 確保您在該伺服器上的任何內容上都沒有 SQLi 漏洞。Plesk 以明文形式儲存使用者密碼,因此如果攻擊者可以執行任意 SQL,他們可以檢索它、登錄和上傳文件。