我们运行一台旧的Windows NT计算机，已完全修补运行IIS4.0。

今天，我们被" linuXploit_crew"击中，他们关闭了我们的网站一两分钟。 (幸运的是，我们很快注意到网站上的更改，并在攻击发生后的几分钟内对其进行了修复)。

但是-修复网站后，我不得不尝试弄清楚这是怎么发生的。

查看我们的FTP日志，我们的default.asp文件没有任何变化，对于Web日志，我看不到任何异常。关于如何确定他们如何进入的任何想法？在思科防火墙上，我们只有3个开放的端口，即FTP，HTTP和HTTPS(21,80,443)。

解决方案

NT / IIS4不再获取安全更新。任何新的漏洞利用都将保持补丁状态。是时候升级了。

一旦拥有足够的"所有权"以更改站点，就不必再信任日志了，它们可能已被攻击者"清除"。

IIS 7 + .NET 3.5 SP1应该是不错的升级:)

他们似乎正在使用某种形式的注入攻击：请参阅http://msdn.microsoft.com/zh-cn/library/bb355989.aspx?ppud=4

仅通过端口80即可进行各种各样的攻击。服务器上正在运行哪些应用程序？ php安全漏洞的数量比操作系统/服务器应用程序漏洞的数量高。

远离Windows NT类系统。 IIS 7对于安全性可能没问题，但是价格不符合标准。请改用BSD或者Linux和Apache。我的建议是Centos(如果是Linux)和OpenBSD(如果是BSD)。