By 5 Novembre 2014

Monitoraggio ISAPI su IIS in caso di Server Compromesso (hacked)

current isapi extension requestsI valori di ISAPI, nel webServer sono in continuo “movimento” e sarebbe consigliabile effettuare un controllo “periodico”, specialmente se il server web fosse stato “mira” di hacker e/o in caso di applicazioni con connessioni “pesanti” a database o in utilizzo di XML parsing.

Per avere informazioni “maggiori” su ISAPI, vi rimando a questo articolo.

Se il server WEB Iis fosse stato “mira” di “hacker” è possibile che siano generate delle pagine script per catturare contenuti da fonti esterne e/o riscrivere “al volo” pagine htm/html sul server (woolrich, ecc.). Queste pagine, successivamente, saranno richiamate in modo continuo e potrebbero generare un impennata continua di ISAPI nel webserver.

Per effettuare un monitoraggio delle ISAPI a cadenze di tempo prestabilite (Operazioni Pianificate) si può utilizzare il seguente script in VBS : Controllo-Riavvio-suISAPI

Lo script è stato “creato” sulla base di questo articolo e provvederà ad inviare un messaggio e-mail quando il valore ISAPI sarà superiore a una certa soglia per un tot di secondi.
A questo punto si potrà intervenire con IISTRACER

IIS Server Compromesso, Monitoraggio Isapi, Alert isapi, Isapi hacked Server, Monitoraggio server Web Compromesso, Controllo server Web Compromesso, Monitoraggio server iis Compromesso

Posted in: Hacker - Difesa

About the Author:

shared on wplocker.com