J'ai deux machines sous NT qui se font sans arrêt hackés (même après des
réinstalls complète). Les deux machines sont identiques Windows 2000 Server
(SP4), IIS (avec LockDown), SQL Server 2000 (SP3 + Patchs) et surtout
BaseLine OK sur les deux. Malgré cela y a toujours des malins qui arrivent à
rentrer dans la machine, installer leur rootkit (surtout HackDefender) pour
cacher leur serveur FTP et backdoor en tout genre. Donc questions... que
faut t'il virer comme service pour une config sur le net et surtout comment
savoir pour où il rentre ? Même le meilleur des Firewalls sera transparent à
une faille dans IIS ou SQLServer...
Voici les services que j'ai de démarrer...
Téléphonie
Système d'évènements de COM+
Système de fichiers distribués
Station de travail
Spouleur d'impression
Service SNMP
Service d'indexation
Service d'exécution par délégation
Service d'enregistrement de licences
Service de publication World Wide Web
Service d'application d'assistance TCP/IP
Service d'administration IIS
Serveur DNS
Serveur
Routage et accès distant
Plug-and-play
Planificateur de tâches
Notification d'évènement système
MSSQLSERVER
Mises à jour automatiques
Microsoft Search
Message Queuing
Médias amovibles
Journal des évènements
Infrastructure de gestion Windows
Gestionnaire de licences des services Terminal Server
Gestionnaire de disque logique
Gestionnaire de connexions d'accès distant
Gestionnaire de comptes sécurité
Fournisseur de la prise en charge de sécurité LM NT
Extensions du pilote WMI
Explorateur d'ordinateur
Emplacement protégé
Distributed Transaction Coordinator
Connexion réseau
Client DNS
Client DHCP
Client de suivi de lien distribué
Avertissement
Appel de précédure distante (RPC)
Agent de stratégie IPSEC
Qui peux me dire à part les usels tels que DNS, IIS, SNMP, SQLServer et
quelques autres lesquels je peux désactiver sans trop de problème ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
jbongran
Jérôme Quintard wrote:
Salut à tous,
J'ai deux machines sous NT qui se font sans arrêt hackés (même après des réinstalls complète). Les deux machines sont identiques Windows 2000 Server (SP4), IIS (avec LockDown), SQL Server 2000 (SP3 + Patchs) et surtout BaseLine OK sur les deux. Malgré cela y a toujours des malins qui arrivent à rentrer dans la machine, installer leur rootkit (surtout HackDefender) pour cacher leur serveur FTP et backdoor en tout genre. Donc questions... que faut t'il virer comme service pour une config sur le net et surtout comment savoir pour où il rentre ? Même le meilleur des Firewalls sera transparent à une faille dans IIS ou SQLServer...
[...]
Les machines sont en DMZ ? Le firewall ne laisse passer que les ports 80 et 443 à destination des IIS URLScan est il configuré correctement (pour installer un rootkit, il faut normalement faire usage d'une ligne de commande assez barbare et comportant un nom de fichier .exe ou .cmd) ? Pour SQL serveur, normalement il ne devrait pas être visible de l'exterieur, donc il ne devrait être vulnérable qu'a du sql script injection, en gros une page asp sur laquelle par ex tu passes la requêtes via une commande get, donc modifiables par l'utilisateur. Donc je dirait, reprendre à zéro les règles du firewall (seuls les ports utiles sont à ouvrir 80, 443, etc...), paramètrer urlscan de manière plus serrée (il est facile de consulter le log urlscan.log pour voir si on ne bloque pas de requête légitimes) Bien sûr, patcher la machine (OS, SQL Server, IIS, etc...) avant de la connecter en réseau .
Jérôme Quintard wrote:
Salut à tous,
J'ai deux machines sous NT qui se font sans arrêt hackés (même après
des réinstalls complète). Les deux machines sont identiques Windows
2000 Server (SP4), IIS (avec LockDown), SQL Server 2000 (SP3 +
Patchs) et surtout BaseLine OK sur les deux. Malgré cela y a toujours
des malins qui arrivent à rentrer dans la machine, installer leur
rootkit (surtout HackDefender) pour cacher leur serveur FTP et
backdoor en tout genre. Donc questions... que faut t'il virer comme
service pour une config sur le net et surtout comment savoir pour où
il rentre ? Même le meilleur des Firewalls sera transparent à une
faille dans IIS ou SQLServer...
[...]
Les machines sont en DMZ ?
Le firewall ne laisse passer que les ports 80 et 443 à destination des IIS
URLScan est il configuré correctement (pour installer un rootkit, il faut
normalement faire usage d'une ligne de commande assez barbare et comportant
un nom de fichier .exe ou .cmd) ?
Pour SQL serveur, normalement il ne devrait pas être visible de l'exterieur,
donc il ne devrait être vulnérable qu'a du sql script injection, en gros une
page asp sur laquelle par ex tu passes la requêtes via une commande get,
donc modifiables par l'utilisateur.
Donc je dirait, reprendre à zéro les règles du firewall (seuls les ports
utiles sont à ouvrir 80, 443, etc...), paramètrer urlscan de manière plus
serrée (il est facile de consulter le log urlscan.log pour voir si on ne
bloque pas de requête légitimes)
Bien sûr, patcher la machine (OS, SQL Server, IIS, etc...) avant de la
connecter en réseau .
J'ai deux machines sous NT qui se font sans arrêt hackés (même après des réinstalls complète). Les deux machines sont identiques Windows 2000 Server (SP4), IIS (avec LockDown), SQL Server 2000 (SP3 + Patchs) et surtout BaseLine OK sur les deux. Malgré cela y a toujours des malins qui arrivent à rentrer dans la machine, installer leur rootkit (surtout HackDefender) pour cacher leur serveur FTP et backdoor en tout genre. Donc questions... que faut t'il virer comme service pour une config sur le net et surtout comment savoir pour où il rentre ? Même le meilleur des Firewalls sera transparent à une faille dans IIS ou SQLServer...
[...]
Les machines sont en DMZ ? Le firewall ne laisse passer que les ports 80 et 443 à destination des IIS URLScan est il configuré correctement (pour installer un rootkit, il faut normalement faire usage d'une ligne de commande assez barbare et comportant un nom de fichier .exe ou .cmd) ? Pour SQL serveur, normalement il ne devrait pas être visible de l'exterieur, donc il ne devrait être vulnérable qu'a du sql script injection, en gros une page asp sur laquelle par ex tu passes la requêtes via une commande get, donc modifiables par l'utilisateur. Donc je dirait, reprendre à zéro les règles du firewall (seuls les ports utiles sont à ouvrir 80, 443, etc...), paramètrer urlscan de manière plus serrée (il est facile de consulter le log urlscan.log pour voir si on ne bloque pas de requête légitimes) Bien sûr, patcher la machine (OS, SQL Server, IIS, etc...) avant de la connecter en réseau .
Stéphane [MS]
Bonjour,
Votre approche est nécessaire, mais pas suffisante : il ne suffit pas de désactiver des services, il faut être également sûr que votre application ne laisse pas une porte ouverte (ce qui doit être le cas).
Regardez ce qui est conseillé sur la page suivante (en anglais) : http://www.microsoft.com/technet/prodtechnol/iis/iis5/tips/iis5chk.asp
Cdlt Stéphane
"Jérôme Quintard" a écrit dans le message de news: eTb$
Salut à tous,
J'ai deux machines sous NT qui se font sans arrêt hackés (même après des réinstalls complète). Les deux machines sont identiques Windows 2000
Server
(SP4), IIS (avec LockDown), SQL Server 2000 (SP3 + Patchs) et surtout BaseLine OK sur les deux. Malgré cela y a toujours des malins qui arrivent
à
rentrer dans la machine, installer leur rootkit (surtout HackDefender)
pour
cacher leur serveur FTP et backdoor en tout genre. Donc questions... que faut t'il virer comme service pour une config sur le net et surtout
comment
savoir pour où il rentre ? Même le meilleur des Firewalls sera transparent
à
une faille dans IIS ou SQLServer...
Voici les services que j'ai de démarrer...
Téléphonie Système d'évènements de COM+ Système de fichiers distribués Station de travail Spouleur d'impression Service SNMP Service d'indexation Service d'exécution par délégation Service d'enregistrement de licences Service de publication World Wide Web Service d'application d'assistance TCP/IP Service d'administration IIS Serveur DNS Serveur Routage et accès distant Plug-and-play Planificateur de tâches Notification d'évènement système MSSQLSERVER Mises à jour automatiques Microsoft Search Message Queuing Médias amovibles Journal des évènements Infrastructure de gestion Windows Gestionnaire de licences des services Terminal Server Gestionnaire de disque logique Gestionnaire de connexions d'accès distant Gestionnaire de comptes sécurité Fournisseur de la prise en charge de sécurité LM NT Extensions du pilote WMI Explorateur d'ordinateur Emplacement protégé Distributed Transaction Coordinator Connexion réseau Client DNS Client DHCP Client de suivi de lien distribué Avertissement Appel de précédure distante (RPC) Agent de stratégie IPSEC
Qui peux me dire à part les usels tels que DNS, IIS, SNMP, SQLServer et quelques autres lesquels je peux désactiver sans trop de problème ?
Merci
Jérôme
Bonjour,
Votre approche est nécessaire, mais pas suffisante : il ne suffit pas de
désactiver des services, il faut être également sûr que votre application ne
laisse pas une porte ouverte (ce qui doit être le cas).
Regardez ce qui est conseillé sur la page suivante (en anglais) :
http://www.microsoft.com/technet/prodtechnol/iis/iis5/tips/iis5chk.asp
Cdlt
Stéphane
"Jérôme Quintard" <jerome.quintard_NOSPAM_@wanadoo.fr> a écrit dans le
message de news: eTb$CGY0DHA.2032@TK2MSFTNGP09.phx.gbl...
Salut à tous,
J'ai deux machines sous NT qui se font sans arrêt hackés (même après des
réinstalls complète). Les deux machines sont identiques Windows 2000
Server
(SP4), IIS (avec LockDown), SQL Server 2000 (SP3 + Patchs) et surtout
BaseLine OK sur les deux. Malgré cela y a toujours des malins qui arrivent
à
rentrer dans la machine, installer leur rootkit (surtout HackDefender)
pour
cacher leur serveur FTP et backdoor en tout genre. Donc questions... que
faut t'il virer comme service pour une config sur le net et surtout
comment
savoir pour où il rentre ? Même le meilleur des Firewalls sera transparent
à
une faille dans IIS ou SQLServer...
Voici les services que j'ai de démarrer...
Téléphonie
Système d'évènements de COM+
Système de fichiers distribués
Station de travail
Spouleur d'impression
Service SNMP
Service d'indexation
Service d'exécution par délégation
Service d'enregistrement de licences
Service de publication World Wide Web
Service d'application d'assistance TCP/IP
Service d'administration IIS
Serveur DNS
Serveur
Routage et accès distant
Plug-and-play
Planificateur de tâches
Notification d'évènement système
MSSQLSERVER
Mises à jour automatiques
Microsoft Search
Message Queuing
Médias amovibles
Journal des évènements
Infrastructure de gestion Windows
Gestionnaire de licences des services Terminal Server
Gestionnaire de disque logique
Gestionnaire de connexions d'accès distant
Gestionnaire de comptes sécurité
Fournisseur de la prise en charge de sécurité LM NT
Extensions du pilote WMI
Explorateur d'ordinateur
Emplacement protégé
Distributed Transaction Coordinator
Connexion réseau
Client DNS
Client DHCP
Client de suivi de lien distribué
Avertissement
Appel de précédure distante (RPC)
Agent de stratégie IPSEC
Qui peux me dire à part les usels tels que DNS, IIS, SNMP, SQLServer et
quelques autres lesquels je peux désactiver sans trop de problème ?
Votre approche est nécessaire, mais pas suffisante : il ne suffit pas de désactiver des services, il faut être également sûr que votre application ne laisse pas une porte ouverte (ce qui doit être le cas).
Regardez ce qui est conseillé sur la page suivante (en anglais) : http://www.microsoft.com/technet/prodtechnol/iis/iis5/tips/iis5chk.asp
Cdlt Stéphane
"Jérôme Quintard" a écrit dans le message de news: eTb$
Salut à tous,
J'ai deux machines sous NT qui se font sans arrêt hackés (même après des réinstalls complète). Les deux machines sont identiques Windows 2000
Server
(SP4), IIS (avec LockDown), SQL Server 2000 (SP3 + Patchs) et surtout BaseLine OK sur les deux. Malgré cela y a toujours des malins qui arrivent
à
rentrer dans la machine, installer leur rootkit (surtout HackDefender)
pour
cacher leur serveur FTP et backdoor en tout genre. Donc questions... que faut t'il virer comme service pour une config sur le net et surtout
comment
savoir pour où il rentre ? Même le meilleur des Firewalls sera transparent
à
une faille dans IIS ou SQLServer...
Voici les services que j'ai de démarrer...
Téléphonie Système d'évènements de COM+ Système de fichiers distribués Station de travail Spouleur d'impression Service SNMP Service d'indexation Service d'exécution par délégation Service d'enregistrement de licences Service de publication World Wide Web Service d'application d'assistance TCP/IP Service d'administration IIS Serveur DNS Serveur Routage et accès distant Plug-and-play Planificateur de tâches Notification d'évènement système MSSQLSERVER Mises à jour automatiques Microsoft Search Message Queuing Médias amovibles Journal des évènements Infrastructure de gestion Windows Gestionnaire de licences des services Terminal Server Gestionnaire de disque logique Gestionnaire de connexions d'accès distant Gestionnaire de comptes sécurité Fournisseur de la prise en charge de sécurité LM NT Extensions du pilote WMI Explorateur d'ordinateur Emplacement protégé Distributed Transaction Coordinator Connexion réseau Client DNS Client DHCP Client de suivi de lien distribué Avertissement Appel de précédure distante (RPC) Agent de stratégie IPSEC
Qui peux me dire à part les usels tels que DNS, IIS, SNMP, SQLServer et quelques autres lesquels je peux désactiver sans trop de problème ?
Merci
Jérôme
Jérôme Quintard
Tout ce qui est indiqué sur cette note est en grande partie reprise par la BaseLine Security. Par contre comment installe t'on IPSec ?
Toujous est il qu'il me faudrait tout de même le nom des services qui ne sont pas nécessaires afin de limiter de toutes façons les ressources et la mémoire de la machine...
Jérôme
Tout ce qui est indiqué sur cette note est en grande partie reprise par la
BaseLine Security. Par contre comment installe t'on IPSec ?
Toujous est il qu'il me faudrait tout de même le nom des services qui ne
sont pas nécessaires afin de limiter de toutes façons les ressources et la
mémoire de la machine...
Tout ce qui est indiqué sur cette note est en grande partie reprise par la BaseLine Security. Par contre comment installe t'on IPSec ?
Toujous est il qu'il me faudrait tout de même le nom des services qui ne sont pas nécessaires afin de limiter de toutes façons les ressources et la mémoire de la machine...
Jérôme
Jérôme Quintard
> Les machines sont en DMZ ?
Non ... bien sûr :o)
Le firewall ne laisse passer que les ports 80 et 443 à destination des IIS
Oui plus les ports 21 (FTP sur une machine), 3389 (pour Terminal Server)
URLScan est il configuré correctement (pour installer un rootkit, il faut normalement faire usage d'une ligne de commande assez barbare et
comportant
un nom de fichier .exe ou .cmd) ?
Oui avec en plus .DLL dans les deny qui n'est pas mis par défaut. Humm il est quand même possible d'exécuter un rootkit si il y a une faille dans une appli et que le pirate passe par cette faille..
Pour SQL serveur, normalement il ne devrait pas être visible de
l'exterieur,
donc il ne devrait être vulnérable qu'a du sql script injection, en gros
une
page asp sur laquelle par ex tu passes la requêtes via une commande get, donc modifiables par l'utilisateur.
Saut que tout ce qui est sur la machine est mis par nous et par nous seul...
Donc je dirait, reprendre à zéro les règles du firewall (seuls les ports utiles sont à ouvrir 80, 443, etc...), paramètrer urlscan de manière plus serrée (il est facile de consulter le log urlscan.log pour voir si on ne bloque pas de requête légitimes)
Ca c'est bon... mais ça n'empêche pas le pirate de passer par une faille que je ne trouve pas...
Bien sûr, patcher la machine (OS, SQL Server, IIS, etc...) avant de la connecter en réseau .
Ca c'est le gros problème... notre fournisseur nous livre systèmatiquement les machines non patché et connecté au net. Ce qui je te l'accorde pas normal... et il n'arrive pas à le comprendre... Pour note la machine est hébergé chez notre founrnisseur de bande...
Jérôme
> Les machines sont en DMZ ?
Non ... bien sûr :o)
Le firewall ne laisse passer que les ports 80 et 443 à destination des IIS
Oui plus les ports 21 (FTP sur une machine), 3389 (pour Terminal Server)
URLScan est il configuré correctement (pour installer un rootkit, il faut
normalement faire usage d'une ligne de commande assez barbare et
comportant
un nom de fichier .exe ou .cmd) ?
Oui avec en plus .DLL dans les deny qui n'est pas mis par défaut.
Humm il est quand même possible d'exécuter un rootkit si il y a une faille
dans une appli et que le pirate passe par cette faille..
Pour SQL serveur, normalement il ne devrait pas être visible de
l'exterieur,
donc il ne devrait être vulnérable qu'a du sql script injection, en gros
une
page asp sur laquelle par ex tu passes la requêtes via une commande get,
donc modifiables par l'utilisateur.
Saut que tout ce qui est sur la machine est mis par nous et par nous seul...
Donc je dirait, reprendre à zéro les règles du firewall (seuls les ports
utiles sont à ouvrir 80, 443, etc...), paramètrer urlscan de manière plus
serrée (il est facile de consulter le log urlscan.log pour voir si on ne
bloque pas de requête légitimes)
Ca c'est bon... mais ça n'empêche pas le pirate de passer par une faille que
je ne trouve pas...
Bien sûr, patcher la machine (OS, SQL Server, IIS, etc...) avant de la
connecter en réseau .
Ca c'est le gros problème... notre fournisseur nous livre systèmatiquement
les machines non patché et connecté au net. Ce qui je te l'accorde pas
normal... et il n'arrive pas à le comprendre... Pour note la machine est
hébergé chez notre founrnisseur de bande...
Le firewall ne laisse passer que les ports 80 et 443 à destination des IIS
Oui plus les ports 21 (FTP sur une machine), 3389 (pour Terminal Server)
URLScan est il configuré correctement (pour installer un rootkit, il faut normalement faire usage d'une ligne de commande assez barbare et
comportant
un nom de fichier .exe ou .cmd) ?
Oui avec en plus .DLL dans les deny qui n'est pas mis par défaut. Humm il est quand même possible d'exécuter un rootkit si il y a une faille dans une appli et que le pirate passe par cette faille..
Pour SQL serveur, normalement il ne devrait pas être visible de
l'exterieur,
donc il ne devrait être vulnérable qu'a du sql script injection, en gros
une
page asp sur laquelle par ex tu passes la requêtes via une commande get, donc modifiables par l'utilisateur.
Saut que tout ce qui est sur la machine est mis par nous et par nous seul...
Donc je dirait, reprendre à zéro les règles du firewall (seuls les ports utiles sont à ouvrir 80, 443, etc...), paramètrer urlscan de manière plus serrée (il est facile de consulter le log urlscan.log pour voir si on ne bloque pas de requête légitimes)
Ca c'est bon... mais ça n'empêche pas le pirate de passer par une faille que je ne trouve pas...
Bien sûr, patcher la machine (OS, SQL Server, IIS, etc...) avant de la connecter en réseau .
Ca c'est le gros problème... notre fournisseur nous livre systèmatiquement les machines non patché et connecté au net. Ce qui je te l'accorde pas normal... et il n'arrive pas à le comprendre... Pour note la machine est hébergé chez notre founrnisseur de bande...
Jérôme
Jérôme Quintard
Ca y est, j'ai installé IPSec... je ne connaissais pas tu du tout cette stratégie sur 2000... Je l'utilisais sous 2003 pour le routage mais je pensais qu'elle n'existait que depuis cette OS... comme le firewalling d'ailleurs...
Quels avantages/inconvénients par rapport à un firewall traditionnel (j'entends Soft). Est-ce que ça peux suffire ou faut il tout de même utiliser un firewall ?
Jérôme
Ca y est, j'ai installé IPSec... je ne connaissais pas tu du tout cette
stratégie sur 2000... Je l'utilisais sous 2003 pour le routage mais je
pensais qu'elle n'existait que depuis cette OS... comme le firewalling
d'ailleurs...
Quels avantages/inconvénients par rapport à un firewall traditionnel
(j'entends Soft). Est-ce que ça peux suffire ou faut il tout de même
utiliser un firewall ?
Ca y est, j'ai installé IPSec... je ne connaissais pas tu du tout cette stratégie sur 2000... Je l'utilisais sous 2003 pour le routage mais je pensais qu'elle n'existait que depuis cette OS... comme le firewalling d'ailleurs...
Quels avantages/inconvénients par rapport à un firewall traditionnel (j'entends Soft). Est-ce que ça peux suffire ou faut il tout de même utiliser un firewall ?
Jérôme
Patrice Lamarche
du coté de tes applis web, Utilise tu des fonctions d'Upload, vérifie tu le type de fichiers des upload ?? Vu ce que tu dis, je pencherais pour une faille dans une de tes applis web et non une faille sur IIS ou SQL Server.
@+ Patrice
"Jérôme Quintard" a écrit dans le message de news:eTb$
Salut à tous,
J'ai deux machines sous NT qui se font sans arrêt hackés (même après des réinstalls complète). Les deux machines sont identiques Windows 2000
Server
(SP4), IIS (avec LockDown), SQL Server 2000 (SP3 + Patchs) et surtout BaseLine OK sur les deux. Malgré cela y a toujours des malins qui arrivent
à
rentrer dans la machine, installer leur rootkit (surtout HackDefender)
pour
cacher leur serveur FTP et backdoor en tout genre. Donc questions... que faut t'il virer comme service pour une config sur le net et surtout
comment
savoir pour où il rentre ? Même le meilleur des Firewalls sera transparent
à
une faille dans IIS ou SQLServer...
Voici les services que j'ai de démarrer...
Téléphonie Système d'évènements de COM+ Système de fichiers distribués Station de travail Spouleur d'impression Service SNMP Service d'indexation Service d'exécution par délégation Service d'enregistrement de licences Service de publication World Wide Web Service d'application d'assistance TCP/IP Service d'administration IIS Serveur DNS Serveur Routage et accès distant Plug-and-play Planificateur de tâches Notification d'évènement système MSSQLSERVER Mises à jour automatiques Microsoft Search Message Queuing Médias amovibles Journal des évènements Infrastructure de gestion Windows Gestionnaire de licences des services Terminal Server Gestionnaire de disque logique Gestionnaire de connexions d'accès distant Gestionnaire de comptes sécurité Fournisseur de la prise en charge de sécurité LM NT Extensions du pilote WMI Explorateur d'ordinateur Emplacement protégé Distributed Transaction Coordinator Connexion réseau Client DNS Client DHCP Client de suivi de lien distribué Avertissement Appel de précédure distante (RPC) Agent de stratégie IPSEC
Qui peux me dire à part les usels tels que DNS, IIS, SNMP, SQLServer et quelques autres lesquels je peux désactiver sans trop de problème ?
Merci
Jérôme
du coté de tes applis web, Utilise tu des fonctions d'Upload, vérifie tu le
type de fichiers des upload ??
Vu ce que tu dis, je pencherais pour une faille dans une de tes applis web
et non une faille sur IIS ou SQL Server.
@+
Patrice
"Jérôme Quintard" <jerome.quintard_NOSPAM_@wanadoo.fr> a écrit dans le
message de news:eTb$CGY0DHA.2032@TK2MSFTNGP09.phx.gbl...
Salut à tous,
J'ai deux machines sous NT qui se font sans arrêt hackés (même après des
réinstalls complète). Les deux machines sont identiques Windows 2000
Server
(SP4), IIS (avec LockDown), SQL Server 2000 (SP3 + Patchs) et surtout
BaseLine OK sur les deux. Malgré cela y a toujours des malins qui arrivent
à
rentrer dans la machine, installer leur rootkit (surtout HackDefender)
pour
cacher leur serveur FTP et backdoor en tout genre. Donc questions... que
faut t'il virer comme service pour une config sur le net et surtout
comment
savoir pour où il rentre ? Même le meilleur des Firewalls sera transparent
à
une faille dans IIS ou SQLServer...
Voici les services que j'ai de démarrer...
Téléphonie
Système d'évènements de COM+
Système de fichiers distribués
Station de travail
Spouleur d'impression
Service SNMP
Service d'indexation
Service d'exécution par délégation
Service d'enregistrement de licences
Service de publication World Wide Web
Service d'application d'assistance TCP/IP
Service d'administration IIS
Serveur DNS
Serveur
Routage et accès distant
Plug-and-play
Planificateur de tâches
Notification d'évènement système
MSSQLSERVER
Mises à jour automatiques
Microsoft Search
Message Queuing
Médias amovibles
Journal des évènements
Infrastructure de gestion Windows
Gestionnaire de licences des services Terminal Server
Gestionnaire de disque logique
Gestionnaire de connexions d'accès distant
Gestionnaire de comptes sécurité
Fournisseur de la prise en charge de sécurité LM NT
Extensions du pilote WMI
Explorateur d'ordinateur
Emplacement protégé
Distributed Transaction Coordinator
Connexion réseau
Client DNS
Client DHCP
Client de suivi de lien distribué
Avertissement
Appel de précédure distante (RPC)
Agent de stratégie IPSEC
Qui peux me dire à part les usels tels que DNS, IIS, SNMP, SQLServer et
quelques autres lesquels je peux désactiver sans trop de problème ?
du coté de tes applis web, Utilise tu des fonctions d'Upload, vérifie tu le type de fichiers des upload ?? Vu ce que tu dis, je pencherais pour une faille dans une de tes applis web et non une faille sur IIS ou SQL Server.
@+ Patrice
"Jérôme Quintard" a écrit dans le message de news:eTb$
Salut à tous,
J'ai deux machines sous NT qui se font sans arrêt hackés (même après des réinstalls complète). Les deux machines sont identiques Windows 2000
Server
(SP4), IIS (avec LockDown), SQL Server 2000 (SP3 + Patchs) et surtout BaseLine OK sur les deux. Malgré cela y a toujours des malins qui arrivent
à
rentrer dans la machine, installer leur rootkit (surtout HackDefender)
pour
cacher leur serveur FTP et backdoor en tout genre. Donc questions... que faut t'il virer comme service pour une config sur le net et surtout
comment
savoir pour où il rentre ? Même le meilleur des Firewalls sera transparent
à
une faille dans IIS ou SQLServer...
Voici les services que j'ai de démarrer...
Téléphonie Système d'évènements de COM+ Système de fichiers distribués Station de travail Spouleur d'impression Service SNMP Service d'indexation Service d'exécution par délégation Service d'enregistrement de licences Service de publication World Wide Web Service d'application d'assistance TCP/IP Service d'administration IIS Serveur DNS Serveur Routage et accès distant Plug-and-play Planificateur de tâches Notification d'évènement système MSSQLSERVER Mises à jour automatiques Microsoft Search Message Queuing Médias amovibles Journal des évènements Infrastructure de gestion Windows Gestionnaire de licences des services Terminal Server Gestionnaire de disque logique Gestionnaire de connexions d'accès distant Gestionnaire de comptes sécurité Fournisseur de la prise en charge de sécurité LM NT Extensions du pilote WMI Explorateur d'ordinateur Emplacement protégé Distributed Transaction Coordinator Connexion réseau Client DNS Client DHCP Client de suivi de lien distribué Avertissement Appel de précédure distante (RPC) Agent de stratégie IPSEC
Qui peux me dire à part les usels tels que DNS, IIS, SNMP, SQLServer et quelques autres lesquels je peux désactiver sans trop de problème ?
Merci
Jérôme
Jérôme Quintard
Oui on vérifie le type d'upload... de plus c'est uniquement via un backoffice pour des utilisateurs (qui malheureusement) ne connaissent rien à l'internet. Non le truc c'est que j'ai l'impression de UrlScan n'est pas très stable... Je viens de réinstaller la machine et même constat... (pour urlscan)
Oui on vérifie le type d'upload... de plus c'est uniquement via un
backoffice pour des utilisateurs (qui malheureusement) ne connaissent rien à
l'internet. Non le truc c'est que j'ai l'impression de UrlScan n'est pas
très stable... Je viens de réinstaller la machine et même constat... (pour
urlscan)
Oui on vérifie le type d'upload... de plus c'est uniquement via un backoffice pour des utilisateurs (qui malheureusement) ne connaissent rien à l'internet. Non le truc c'est que j'ai l'impression de UrlScan n'est pas très stable... Je viens de réinstaller la machine et même constat... (pour urlscan)
