Ultimamente si sente sempre più spesso parlare di siti craccati, con web server IIS.

Secondo una recente statistica, sembrerebbe che la maggior parte dei sysadmin NT, in realtà svolga questo compito come "seconda occupazione". Se si aggiunge a questo il fatto che è molto alta la percentuale di persone che cambia società, in questo ambito, si possono trarre un paio di conclusioni:

Uno dei motivi scatenanti di questa situazione è però senza dubbio la bassa priorità che molti sysadmin danno alla sicurezza ed alla manutenzione dei server web (per i motivi di cui sopra), considerato che in genere è proprio questo il punto migliore per incursioni, nonchè per compromettere l'affidabilità di tutta la rete.
A questo proposito giudico ottimo il documento prodotto dalla NSA riguardo alla configurazione di IIS5 "a prova di hacker": si tratta di 125 pagine, tutte molto interessanti, quasi un must per chi volesse configurare un server con IIS5 e Windows 2000 in maniera sicura.

Piccola premessa: la sicurezza assoluta non esiste, purtroppo, ma sforzarsi un attimo di tentare di migliorarsi non fa mai male.
Ad essere sinceri, credo che l'unico modo perchè un server sia sicuro, a prescindere da qualunque esso sia, consista nel prendere un estermo rimedio: staccarlo dalla rete...

Comunque, nonostante questa piccola mia opinione personale, credo che esistano dei piccoli accorgimenti, una sorta di "linee guida" che potrà senza dubbio risultare utile a molti lettori.

IIS4 e IIS5 possono essere facilmenete aggiornati alle ultime patch rilasciate attraverso WindowsUpdate .
Non è la soluzione migliore, perchè le patch vengono inserite in WinUpdate dopo 15 giorni dal loro rilascio ufficiale, di norma, tuttavia è un metodo tutt'altro che banale per mantenere un minimo aggiornato il proprio server web, se si pensa che molti dei siti attaccati sono IIS4 ed NT4, senza patch rilasciate nel corso del 2000, come la MS00-057 (Agosto 2000), ad esempio.

Questa vulnerabilità consiste nell'usare i path relaviti (..\) per copiare cmd.exe, l'interprete di comando di NT, in una directory accessibile via web, rinominando in root.exe ed eseguendo una serie di comandi per rimpiazzare il file di default con uno proprio.
E' sufficiente utilizzare due drive (o volumi) differenti per sistema operativo e file destinati alla pubblicazione sul web per evitare che questo bug possa essere sfruttato.

In genere questo bug (con le sue varianti) viene sfruttato per effettuare un defacement (molto di voga in questo periodo pre-G8), letteralmente un defacciamento del sito colpito.

In realtà sarebbe possibile, a quel punto, prendere il controllo pressochè totale del sito in questione.

L'utilizzo di questa tecnica è diventata molto frequente in seguito ad un worm che infetta server Solaris.
Dopo essere stati controllati da questo serpentello, noto come 'sadmind/IIS Worm', il server colpito tenta di colpire tutti i box IIS che incontra sul proprio cammino, cercando di sfruttare appunto questa falla.

Un altro modo per evitare rogne è applicare i Service Pack non appena sono disponibili, magari lasciando al massimo un paio di giorni, che sono sufficienti per venire a conoscenza di eventuali problemi riscontrati da altre persone.
Un SP, in genere, contiene tutte le hot-fixes rilasciate fino alla data di uscita dello stesso, per cui rapprensenta un aggiornamento cumulativo importante ed essenziale.