作者ezsome (簡易體)
看板NetSecurity
標題[問題] 幫老師架設的網站疑似被駭
時間Thu Mar 3 11:17:32 2011
因為我們domain name還沒有向學校申請
所以都直接給學生IP位置
最近發現老師所使用的網站常常因為session數過高
而被資訊中心鎖網
後來查了一下Apache的log檔
除了校內IP和hinet的IP位置以外有一些國外的IP
例如下面這一行
212.34.151.239 - - [25/Feb/2011:13:54:07 +0800] "GET
/w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 420 "-" "-"
我用w00tw00t.at.ISC.SANS.DFind 當關鍵字google發現都是有關駭客的事件
之後他所作的動作都是跟WebDAV有關的
現在不知道怎麼去防範他只能先將伺服器關閉
我是用XAMPP+Joomla幫老師架設網站
之前伺服器開了一陣子都沒事
一直到最近我開了FTP權限
才開始有國外IP的痕跡
不知道這兩者之間有沒有關聯
我用修改日期把幾個可疑的檔案找出來
在XAMPP目錄底下有一個webdav的資料夾
裡面有四個檔案
其中有兩個是那個時段修改的
help.php
sh.php
另外在XAMPP/security底下
webdav.htpasswd
Apache目錄底下
Dav.Lock.dir
Dav.Lock.pag
不知道這些檔案有沒有危險
我用netstat -a
發現有很多port是我以前沒打開的
現在最好的方法
該不會是要放棄這個IP吧= =
有沒有大大可以幫幫我QQ
--
科技始終於人性 壓力始終來自新台幣
上帝創造七情六慾,我們卻把它變成色情和暴力
前程四緊就是:手頭緊、眉頭緊、衣服緊、時間緊
今日事今日畢,過了今日就不必
青春就像衛生紙。看著挺多的,用著用著就不夠了
皮夾裡的發票永遠比鈔票多
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 163.25.89.145
1F:推 hukhuk:己經被入侵了,先關閉吧。 03/03 14:12
2F:→ hukhuk:記得要裝mod_security 這個web的firewall,裝好就能擋住普 03/03 14:14
3F:→ hukhuk:通的攻擊,預設的有:XSS、SQL INJECTION…等 03/03 14:14
4F:→ Jeffxx:開ftp後可能是被robot try出ftp帳號密碼, 也有可能是網站 03/04 18:06
5F:→ Jeffxx:有漏洞被植入後門 . 03/04 18:07
6F:→ Jeffxx:IP不用放棄 是機器的資料可能需要放棄XD 03/04 18:08
7F:推 pichubaby:我記得絕大多數的ftp是會記錄的 03/13 02:38
8F:→ pichubaby:mod_security的防禦手法似乎十分粗糙 03/13 02:41
9F:→ pichubaby:可能會有系統已經不怕這些攻擊的錯覺 03/13 02:41
10F:→ justoncetime:裝modsecurity跟發揮是兩碼事,AP大洞FW也難全擋 03/27 02:35