我一直在帮一个托pipe公司。 他们有服务器提供与Windows和IIS的.NET托pipe。 对于客户pipe理,域名创build这样的东西,他们正在使用Paralells Plesk,运作良好。
看来在生成统计信息的过程中,“Perl.exe”用于parsingIIS日志文件。 今天我们发现一些用户被称为Gootkit的DOS系统感染了。 在cgi-bin文件夹中发现了很多恶意脚本。 我不知道如何,但是他们被调用(并且通过Perl和他的IUSR用户执行)。
我们已经隔离了这些脚本,现在问题已经停止了。 我们还在Windows中为攻击的目标IP添加了一条虚假路由,以防止stream量输出。
除了这些具体的反应行动,我想知道:什么是正确的清单,你必须遵循,以防止这些问题摆在首位? 目前,Windows防火墙处于活动状态并正在运行,卡巴斯基防病毒软件已经就位,并且有一个硬件防火墙。 但是,这些脚本的简单上传和调用已经导致networking接口以100%的效率工作,影响数据中心的所有机器。
我们如何更好地保护我们的服务器?
我们的一个客户同样受到影响,文件通过POST请求上传到URI / plesk / client @ {client number} / domain @ {domain number} / hosting / file-manager / create-file
他们是,我相信,通过networking请求,通常包括目标和攻击types(SYN泛滥等)调用。
为了防止再次发生,请确保您正在运行最新版本的Plesk,确保所有密码都是强大的,最重要的是确保您在该服务器上的任何内容上都没有SQLi漏洞。 Plesk以明文存储用户密码,因此如果攻击者可以运行任意SQL,他们可以检索它,login和上传文件。