作者ezsome (简易体)
看板NetSecurity
标题[问题] 帮老师架设的网站疑似被骇
时间Thu Mar 3 11:17:32 2011
因为我们domain name还没有向学校申请
所以都直接给学生IP位置
最近发现老师所使用的网站常常因为session数过高
而被资讯中心锁网
後来查了一下Apache的log档
除了校内IP和hinet的IP位置以外有一些国外的IP
例如下面这一行
212.34.151.239 - - [25/Feb/2011:13:54:07 +0800] "GET
/w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 420 "-" "-"
我用w00tw00t.at.ISC.SANS.DFind 当关键字google发现都是有关骇客的事件
之後他所作的动作都是跟WebDAV有关的
现在不知道怎麽去防范他只能先将伺服器关闭
我是用XAMPP+Joomla帮老师架设网站
之前伺服器开了一阵子都没事
一直到最近我开了FTP权限
才开始有国外IP的痕迹
不知道这两者之间有没有关联
我用修改日期把几个可疑的档案找出来
在XAMPP目录底下有一个webdav的资料夹
里面有四个档案
其中有两个是那个时段修改的
help.php
sh.php
另外在XAMPP/security底下
webdav.htpasswd
Apache目录底下
Dav.Lock.dir
Dav.Lock.pag
不知道这些档案有没有危险
我用netstat -a
发现有很多port是我以前没打开的
现在最好的方法
该不会是要放弃这个IP吧= =
有没有大大可以帮帮我QQ
--
科技始终於人性 压力始终来自新台币
上帝创造七情六慾,我们却把它变成色情和暴力
前程四紧就是:手头紧、眉头紧、衣服紧、时间紧
今日事今日毕,过了今日就不必
青春就像卫生纸。看着挺多的,用着用着就不够了
皮夹里的发票永远比钞票多
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 163.25.89.145
1F:推 hukhuk:己经被入侵了,先关闭吧。 03/03 14:12
2F:→ hukhuk:记得要装mod_security 这个web的firewall,装好就能挡住普 03/03 14:14
3F:→ hukhuk:通的攻击,预设的有:XSS、SQL INJECTION…等 03/03 14:14
4F:→ Jeffxx:开ftp後可能是被robot try出ftp帐号密码, 也有可能是网站 03/04 18:06
5F:→ Jeffxx:有漏洞被植入後门 . 03/04 18:07
6F:→ Jeffxx:IP不用放弃 是机器的资料可能需要放弃XD 03/04 18:08
7F:推 pichubaby:我记得绝大多数的ftp是会记录的 03/13 02:38
8F:→ pichubaby:mod_security的防御手法似乎十分粗糙 03/13 02:41
9F:→ pichubaby:可能会有系统已经不怕这些攻击的错觉 03/13 02:41
10F:→ justoncetime:装modsecurity跟发挥是两码事,AP大洞FW也难全挡 03/27 02:35