【求助】有 Firewall 的 http server 網頁被 Hacked 了

[genjen]

之前關於 index.php 被大量置換的問題, 感謝大家的幫忙, 這次我又有新問題了.
我的客戶有使用 firewall, server OS 用 Windows 2000 Server, Update 到 SP4, 今天發現被 Hacked,首頁被改成如附件那樣的 html page, 我 check 過它的 html source code, 沒有任何 Script language, 所以請安心開啟.
by the way, 客戶的 firewall 也只有開 http port, 另外還有開兩個管理 port, 一個是 ftp, 另一個是 terminal services 遠端桌面, 不過這兩個管理 port 都有限制來源 IP , 但是還是被 Hacked 了.
想請問... 這是用什麼入侵程式造成的呢? 可能是什麼透過什麼方法進來換的呢?

[softbrian]

這樣的敘述有點不知道從哪邊下手哩~
改 linux /FreeBSD會不會好一點呀？

[門神]

有Firewall應該就可以查Log

[mus000]

win2000 只更新到 sp4 ?
要不要繼續更新到最新的 2005 年更新再看看?
在 sp4 之後，可是有補過幾個大漏洞喔。

[genjen]

現在知道為什麼有 firewall 還是被 Hack 了, 原因是他的 Server 上有兩個 Lan port, 其中一個有過 firewall, 另外還有拉一條線直接接到第二個 LAN Port, 而且是真實 IP, 所以 firewall 形同虛設, 但是... 我的問題是... 有沒有人知道這個 Hacking 的程式? 是透過麼方式 Hacking 進來的呢?

[darkwarrior]

也有可能是系統漏洞阿....CHECK一下並更新吧
如果是有洞的系統不管你防火牆擋多好都一樣
總是要開PORT 80給人走阿....

[iamyy]

有人說......
[ 對岸的同胞已經將Microsoft的作業系統摸的熟透透了，想要降低被Hi的機率的話，改用Linux / FreeBSD 來提供Web Service吧!! ]

PS.不過我覺得改用Linux / FreeBSD大概還是會被Hi吧！

[TAIWAN]

IP SHARE 與 FIREWALL 已經被廣告搞混了!

FIREWALL 可以控制執行的代碼進出!包含了LAN傳輸過來的不正當指令過濾!而IP SHARE只是控制 PORT FORWARDING 而已!先弄清楚了再買吧!參考進出流量!保護等級!拿台 IP SHARE補一補漏洞和寫好 A.S.P.就夠抵擋一些小鬼了!除非他會鎖 M.A.C!

這台SERVER上如果沒錯!出了最大的狀況是權限設定問題而且維護上使用了遠端管理和使用了IIS的WINDOWS FTP SERVER !而且忘了裝 IIS LOCK工具!裝上他應該會好一點!

[rEdS]

引用:

作者: iamyy

有人說......
[ 對岸的同胞已經將Microsoft的作業系統摸的熟透透了，想要降低被Hi的機率的話，改用Linux / FreeBSD 來提供Web Service吧!! ]

這種說法,真的蠻可笑的.
自己的安全控管沒做好,用什麼作業系統和防火牆都一樣.
對我而言,使用自己不熟的作業系統,反而更沒有安全感.

[aiken]

就算用 Linux 也是要更新的
不更新一樣會出事