technologijų

Užpuolimas į IIS žiniatinklio serverius (tęsinys)

technologijų Užpuolimas į IIS žiniatinklio serverius (tęsinys)

NYSTV - Armageddon and the New 5G Network Technology w guest Scott Hensler - Multi Language (Liepa 2019).

Anonim

Padėtis pasikeitė nuo informacijos, kurią paskelbėme 26/06. Priešingai tam, ką sakėme dėl vieno iš šaltinių, su kuriais konsultuojasi, "javascript" gali užkrėsti kompiuterius, "Trojans" bus įkelta tik iš vienos Rusijos svetainės ir nėra jokios Amerikos svetainės. dalyvauja šiame vaidmenyje.

Prieiga prie Rusijos svetainės buvo užblokuota, kad kompiuteris, kuriame įkeliamas javascript, negalėtų atsisiųsti Trojan.

$config[ads_text] not found

Ši pirminė infekcija tada liktų saugi.

Atrodo, kad prieigos blokavimas yra atliekamas gana plačiu pagrindinių tinklų maršrutizatorių lygiu, kurį rodo keletas paprastų testų: skaičius PIN krimina yra registruotas kaip nepaskirtas.m10-msk-ru.e-neverland.net, ir bandymas traceroute sustoja pakankamai greitai: UunetEuro1.GW.opentransit.net 193.251.250.198 ataskaitos: negalima pasiekti paskirties bendrabutyje.

Šis maršrutizatorius yra Paryžiuje.
Dauguma ekspertų dabar mano, kad šios operacijos tikslas buvo įdiegti nenustatytus kompiuterių vartotojus, kad būtų užfiksuotos užkrėsto kompiuterio paskyros ir klavišų paspaudimai bei persiunčiami įsilaužėliai, tuo tarpu pirmoji hipotezė nurodo "unproxypor" diegimą skleisti duspam.

Mes vis dar nežinome, kaip įsilaužėliai sugebėjo įšvirkšti kodą, skirtą sulaikyti lankytojus ISVerveriuose, arba pakeisti serverio nustatymą, kaip platinti kenkėjišką scenarijų. Žinoma, įsilaužėliai turėjo rankiniu būdu įvesti kiekvieną serverį, kad jį užterštų. Todėl tai labai tikslinga ir labai techninė operacija.
Kartais įtariamas "išnaudojimo", vadinamo "SSL-PCT" išnaudojimu, naudojimas (atminkite, kad SSL yra dekodavimo metodas ir tradicinis saugumo autentifikavimas interneto mainuose!). "Microsoft" grąžina "Microsoft" saugos biuletenį MS04-011 be išsamesnės informacijos apie išnaudotą išnaudojimą.

Jei naudojate IIS serverį, norėdami pamatyti, ar jis buvo pažeistas dėl šio išpuolio, eikite į "Server Management with MMC" ir peržiūrėkite "Dokumentų" sritį. Pažeistuose serveriuose pažymėta laukelis "Įjungti dokumento poraštę", o nuoroda nurodo į … system32inetsrviisxxx.dll, kur xxx reiškia kintamą skaičių ar raidžių derinį.

Viename taške yra nutildyti ginčai: "Microsoft" teigia, kad IIS 5 serveriai su naujausiais atnaujinimais atsisako šio išpuolio, tačiau kai kurie užkrėsto serverio administratoriai teigia, kad jų serveris yra atnaujintas. Tai svarbu, nes galima įsivaizduoti, kad tas pats metodas yra naudojamas siekiant pakenkti kitiems serveriams, nurodant kitą IP numerį kaip Trojos arklys šaltinį. Bet kokiu atveju, net jei "Microsoft" yra teisus, mes žinome, kad pasaulyje yra daugybė IIS serverių, kurie nėra atnaujinami su jų saugos pataisomis.

Lankytojų lygiu apklausa atliekama keliais "Internet Explorer" pažeidžiamumo deriniais, iš kurių bent vienas iš jų vis dar nepatenkintas.
Buvo apgalvotas noras neatskleisti pažeidžiamų svetainių tapatybės dėl priežasčių, kurias lengva atskleisti, tačiau kai kurie šaltiniai praneša banko institucijoms, o AFP pareiškime kalbama apie svetaines, taip pat žinomas kaip "ebay" Yahoo e-mail, Earthlink ir Juno.
Šis troškimas tyliai internetinius vartotojus pakėlė dėl nepagrįstos rizikos dėl mažos komercinės vertės.

Nors "Microsoft" teigia, kad bendras poveikis buvo nedidelis, tikslinga atlikti išsamų jūsų kompiuterio nuskaitymą su atnaujintais antivirusinių naujinimais.

Žodynas (pavyzdžiui, "Google" paieškai): "Microsoft" kalba serverio lygmeniu apie "Download.Ject" infekciją; dauguma antivirusų atpažįsta kliento užkrėtimą javascript pavadinimu Scob arba Toofer; pagaliau "Berbew" reiškia "Trojan", už kurį atsakingas "javascript".

Populiarios Temos