Hola  a todos,

Hoy por la manana el sitio WEB que tenemos sobre Windows 2000 y tiene IIS como web server, fue explotado y la pagina principal contenia lo siguiente:

#Kernel_Attack On Irc.GigaChat.Net
Defaced By Dead_c0de Dead_c0de@Hacker.Am

char *auth=
"GET / HTTP/1.0\r\n"
"Host: localhost:360\r\n"
"Accept: text/html\r\n"
"Accept-Encoding: gzip, compress\r\n"
"Accept-Language: en\r\n"
"Negotiate: trans\r\n"
"User-Agent: xnec\r\n"
"Authorization: Basic";
void main (int argc, char *argv[]) {
sock_a.sin_family=AF_INET;
sock_a.sin_port=htons(i2oport);
memcpy((char *)&sock_a.sin_addr,(char *)host->h_addr,host->h_length);
if(connect(sock,(struct sockaddr *)&sock_a,sizeof(sock_a))!=0) {
perror("create connect");
exit(-1);

Sin embargo, estamos al dia con los Updates y los service pack, como puedo saber cual es el bug con el que me atacaron para poder poner el parche adecuado.

Gracias.

revisa los logs que para eso están.

Si el ISS guarda los logs y no los han borrado, allí podrás ver las inyecciones de código que usaron... si es que usaron eso.