[問題] 幫老師架設的網站疑似被駭

看板NetSecurity (資安資訊安全)作者ezsome (簡易體)時間13年前 (2011/03/03 11:17)推噓2(2推 0噓 8→)

留言10則, 4人參與討論串1/1

因為我們domain name還沒有向學校申請所以都直接給學生IP位置最近發現老師所使用的網站常常因為session數過高而被資訊中心鎖網後來查了一下Apache的log檔除了校內IP和hinet的IP位置以外有一些國外的IP 例如下面這一行 212.34.151.239 - - [25/Feb/2011:13:54:07 +0800] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 420 "-" "-" 我用w00tw00t.at.ISC.SANS.DFind 當關鍵字google發現都是有關駭客的事件之後他所作的動作都是跟WebDAV有關的現在不知道怎麼去防範他只能先將伺服器關閉我是用XAMPP+Joomla幫老師架設網站之前伺服器開了一陣子都沒事一直到最近我開了FTP權限才開始有國外IP的痕跡不知道這兩者之間有沒有關聯我用修改日期把幾個可疑的檔案找出來在XAMPP目錄底下有一個webdav的資料夾裡面有四個檔案其中有兩個是那個時段修改的 help.php sh.php 另外在XAMPP/security底下 webdav.htpasswd Apache目錄底下 Dav.Lock.dir Dav.Lock.pag 不知道這些檔案有沒有危險我用netstat -a 發現有很多port是我以前沒打開的現在最好的方法該不會是要放棄這個IP吧= = 有沒有大大可以幫幫我QQ -- 科技始終於人性壓力始終來自新台幣上帝創造七情六慾，我們卻把它變成色情和暴力前程四緊就是：手頭緊、眉頭緊、衣服緊、時間緊今日事今日畢，過了今日就不必青春就像衛生紙。看著挺多的，用著用著就不夠了皮夾裡的發票永遠比鈔票多 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 163.25.89.145