Gepubliceerd: Dinsdag 1 september 2009
Een hacker heeft code gepubliceerd waarmee een oude IIS server kan worden overgenomen. Maar ook aan nieuwere servers kan schade worden toegebracht.
Toon volledig artikel
De aanval gaat in ieder geval over ftp, waarmee software op de server kan worden geïnstalleerd. Het gaat dan om Windows 2000 systemen met de oude IIS 5.0 server. De hacker moet op het systeem ook nog een nieuwe directory kunnen aanmaken
De aanval werkt dus alleen als FTP open staat
en als je een FTP user hebt op die server
en als die FTP user directories mag aan maken
en als die FTP user software mag installeren
of lees ik dat nu verkeerd?
Volgens mij lees je het prima....
Inderdaad, als je FTP volkomen foutief geconfigureerd is, dan is het mogelijk. Tsja, op die manier kun je vrijwel alle servers hacken....
Ik ben nog nooit een grote fan van MS-serversoftware geweest, maar dit lijkt me nu ook weer zo'n geval van veel kabaal om helemaal niets:
Ten eerste: je moet inderdaad de boel behoorlijk knullig hebben ingesteld.
Ten tweede: het gaat om Win2000 met IIS5.0... Wake up and smell the coffee.... we zijn inmiddels 10 jaar verder!!! Het wordt dan echt wel tijd dat je je server-OS vervangt! Wordt 2000 Server überhaupt nog ondersteund door MS?
Misschien komt deze hacker volgende week wel met de opmerkelijke hack dat je in Windows 98 het inlogscherm zomaar kunt omzeilen door op Esc te drukken... spannend!!!
Het nieuws is dat het een zeroday bug is gepubliceerd inclusief code om het na te spelen.
Dat microsoft programma's vol kevertjes zit is geen nieuws.
Dat er aan bepaalde voorwaarden voldaan moet worden is niet meer dan normaal.
Het enige dat jij doet is de bug bagatelliseren, maar het blijft een flinke bug.
De FTP server van IIS 5.0 is berucht om zijn vele lekken. Ik maak al heel lang geen gebruik meer van de IIS FTP server omdat ik niet blij ben met de integratie van accounts. Je moet namelijk voor iedere FTP gebruiker een Windows account aanmaken.
Dat de hack ook onder IIS6 of zelfs onder IIS7 werkt zal met niet verbazen. De IIS FTP server is in de loop der tijd weinig doorontwikkeld.
Ik kan me niet voorstellen dat er echt heel veel sites zijn die gebruik maken van deze FTP server. Er zijn genoeg alternatieven die veel beter zijn, zowel wat betreft features als beveiliging.
De FTP server van IIS 5.0 is berucht om zijn vele lekken. Ik maak al heel lang geen gebruik meer van de IIS
Dat de hack ook onder IIS6 of zelfs onder IIS7 werkt zal met niet verbazen. De IIS FTP server is in de loop der tijd weinig doorontwikkeld.
Deze uitspraken bijten elkaar een beetje, vind je niet?
Je gebruikt het al jaren niet meer en toch vind je het weinig doorontwikkeld?
Trouwens IIS7 is wel doorontwikkeld.
Dat ik het niet gebruik wil niet zeggen dat ik niet weet waar ik het over heb. Ook in IIS 7 is de FTP server nog steeds nagenoeg zo niet helemaal hetzelfde als in IIS 5. Je moet de FTP sites zelfs beheren met de IIS 6.0 manager die naast de IIS 7 management console wordt geïnstalleerd. Microsoft neemt dus niet eens meer de moeite om de beheersomgeving te updaten, laat staan de server software zelf.
Begrijp me niet verkeerd, ik ben absoluut een aanhanger van IIS 7 als HTTP server. Ik host 40+ websites van mij en klanten op Windows 2008 en IIS 7 en ben er zeer over te spreken. IIS 5 was achteraf gezien niet goed genoeg, IIS 6 was goed, maar IIS is met versie 7 eindelijk zoals het moet zijn. Maar als FTP server moet je echt wat anders gebruiken.
Je reactie laat zien dat jij niet doorontwikkeld bent op het gebied van IIS :). Dat is uiteraard je eigen keuze, maar dan is het wellicht beter om ook de keuze te maken geen dingen te zeggen over iets waar je niets (meer) van weet.
IIS6 was al een redelijke vernieuwing t.o.v. IIS5 (hetgeen zich o.a. vertaald heeft in slechts 3 bekende lekken in de 1e 4 jaar van het bestaan, met een hoogste rating van moderatly critical), maar IIS7 is totaal anders qua opzet, namelijk volledig modulair. Componenten die je niet gebruikt hoeven niet meer op het systeem te staan, zodat er een minimale attack surface is. IIS7 bevat ook geen FTP server meer.
Als je een FTP server bij IIS7 wilt hebben, dan moet je die apart downloaden. En dan nog is eigenlijk het enige dat ze echt delen de Management Console. Die FTP server is ook opnieuw gebouwd en heeft o.a. niet meer de integratie met Windows accounts die je noemt. Daar komt verder bij dat je, uit veiligheidsoverwegingen, de FTP server standaard niet aan staat na installatie en je redelijk wat moet configureren om dit voor elkaar te krijgen.
voor kritiek op MS producten is kennis kennelijk niet nodig ;)
Je kunt gewoon meelullen met de massa hier..
Ik denk dat ik op het gebied van IIS best weet waar ik het over heb. Ik gebruik en host al sites met IIS sinds versie 1.0 onder Windows NT 3.5. Toen zat er ook al een FTP server bij (en een Gopher server, wie kent dat nog).
Zoals ik mijn reactie aan globetrotter al aangeef ben ik zeker niet anti-MS of anti-IIS. Het tegenovergestelde zou ik bijna zeggen. Echter, de FTP server van IIS is gewoon slecht. Alleen al wat betreft features is het natuurlijk treurig. Zelfs Filezilla (wat overigens een prima servertje is voor eenvoudige FTP sites) verslaat de IIS FTP server dubbel en dwars op features. Pakketten als Serv-U, Gene6, Cerberus, etc gaan daar nog eens in veelvoud overheen.
Als je nu nog de FTP server van IIS gebruikt dan adviseer ik je sterk om eens te kijken naar wat alternatieven.
ben ik zeker niet anti-MS of anti-IIS. Het tegenovergestelde zou ik bijna zeggen.
Dat kan ik bevestigen. Ik kan me herinneren dat we elkaar al vaker in de haren zijn gevlogen. Maar kritiek op Microsft lokt bij bepaalde mensen nu eenmaal wat heftige reacties uit.
Ik heb de indruk dat IIS zich intussen heeft ontwikkeld tot een goede server. Alleen stimuleert Microsoft het gebruik van FTP niet, wat zich uit in het kwijnende bestaan van de FTP module.
Gelukkig zijn er genoeg alternatieven. Dus het probleem lijkt me niet onoverkomelijk.
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
