none
Ataque del grupo anonymous RRS feed

  • Pregunta

  • el peru esta siendo atacado por el grupo hacker anonymous, extrae informacion y la publica aqui: www.piratasdelared.com

    necesito saber como evitar esto, como proteger los IIS6 de nuestro portal, nosotros somos el Ministerio de Salud del Peru

    Favor de indicarnos como ubicar en nuestro servidor la manera de como ingreso el atacante y como solucionarlo.

    Gracias.

    jueves, 23 de junio de 2011 22:34

Respuestas

  • Ahi vi lo que encontraron los hackers ... estan en problemas.

    No creo que hayan entrado al servidor ... me da la impresion que subieron un archivo y lo usan para ver el resto de los archivos que tienen.

    Se me ocurren muchas cosas:

    1  - Contraten alguien de seg uridad informatica local

    2- Creen un usuario  que corra el sitio que tenga permiso solo de lectura en los archivos del sitio

    3- Revisar aplicaciones instaladas, y buscar de que aplicacion pudieron hacer el ipload del archivo

    4- Restaurar el sitio desde un backup previo a que les hayan ingresado

    5- Cerrar el acceso a las bases de datos desde af uera

    6- Revisar los logs de IIS buscando un archivo nuevo que hayan subido para mostrar lo que encontraron

    7- Revisar el acceso FTP y asegurar usuario y password que lo pueden acceder

     

    Conta como fue a ver si lo ampliamos, suerte.

    • Marcado como respuesta Ismael Borche miércoles, 20 de julio de 2011 18:34
    lunes, 27 de junio de 2011 17:44

Todas las respuestas

  • Empeza por contarnos mas detalle del aaque ... que informacion tenes ?

    Decis que entraron a tus servidores estas seguro ? Como   pensas que ingresaron ?

     

    Saludos!

    lunes, 27 de junio de 2011 17:35
  • Ahi vi lo que encontraron los hackers ... estan en problemas.

    No creo que hayan entrado al servidor ... me da la impresion que subieron un archivo y lo usan para ver el resto de los archivos que tienen.

    Se me ocurren muchas cosas:

    1  - Contraten alguien de seg uridad informatica local

    2- Creen un usuario  que corra el sitio que tenga permiso solo de lectura en los archivos del sitio

    3- Revisar aplicaciones instaladas, y buscar de que aplicacion pudieron hacer el ipload del archivo

    4- Restaurar el sitio desde un backup previo a que les hayan ingresado

    5- Cerrar el acceso a las bases de datos desde af uera

    6- Revisar los logs de IIS buscando un archivo nuevo que hayan subido para mostrar lo que encontraron

    7- Revisar el acceso FTP y asegurar usuario y password que lo pueden acceder

     

    Conta como fue a ver si lo ampliamos, suerte.

    • Marcado como respuesta Ismael Borche miércoles, 20 de julio de 2011 18:34
    lunes, 27 de junio de 2011 17:44
  • Hola Minsa,

     

    es un problema grave el que tenéis, como solución rápida, os recomiendo que instaléis un appliance delante del IIS de momento, hay muchos appliance en el mercado que tienen funcionalidades de firewall de aplicaciones, la idea sería:

     

    - Darle la ip pública al appliance.

    - Configurar el server con IIS 6 con una ip interna ( seguramente debereis cambiar la config de IIS para que escuche desde esa nueva ip).

    - Configurar el appliance para que redirija las peticiones http hacia la ip del server con IIS.

    - Establecer reglas de seguridad en este appliance para evitar el ataque, en función del tipo de ataque se tendría que ver que activar exactamente.

    Cuando digo appliance, también se podría poner un sistema Windows con Forefront TMG ( http://www.microsoft.com/forefront/threat-management-gateway/en/us/overview.aspx )

    Cuando ya tengáis esa protección, yo estudiaría el migrar la web a una versión de IIS más actual IIS 7.0 o 7.5 , dado que tiene funcionalidades de seguridad mucho más avanzadas que IIS 6.0, ojo con esto porque es posible que tengáis que tocar ciertas partes del código de la web, dado que

     

     

    Luis.

    MCSE NT / 2k3

    MCITP Enterprise Administrator

    MCITP Enterprise Messaging Administrator ( 2k7 )

    jueves, 28 de julio de 2011 7:41