楼主:
ezsome (简易体)
2011-03-03 11:17:32因为我们domain name还没有向学校申请
所以都直接给学生IP位置
最近发现老师所使用的网站常常因为session数过高
而被资讯中心锁网
后来查了一下Apache的log档
除了校内IP和hinet的IP位置以外有一些国外的IP
例如下面这一行
212.34.151.239 - - [25/Feb/2011:13:54:07 +0800] "GET
/w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 420 "-" "-"
我用w00tw00t.at.ISC.SANS.DFind 当关键字google发现都是有关骇客的事件
之后他所作的动作都是跟WebDAV有关的
现在不知道怎么去防范他只能先将服务器关闭
我是用XAMPP+Joomla帮老师架设网站
之前服务器开了一阵子都没事
一直到最近我开了FTP权限
才开始有国外IP的痕迹
不知道这两者之间有没有关联
我用修改日期把几个可疑的档案找出来
在XAMPP目录底下有一个webdav的资料夹
里面有四个档案
其中有两个是那个时段修改的
help.php
sh.php
另外在XAMPP/security底下
webdav.htpasswd
Apache目录底下
Dav.Lock.dir
Dav.Lock.pag
不知道这些档案有没有危险
我用netstat -a
发现有很多port是我以前没打开的
现在最好的方法
该不会是要放弃这个IP吧= =
有没有大大可以帮帮我QQ
作者: hukhuk (ken) 2011-03-03 14:12:00
己经被入侵了,先关闭吧。记得要装mod_security 这个web的firewall,装好就能挡住普通的攻击,默认的有:XSS、SQL INJECTION…等
作者:
Jeffxx (Jeffxx)
2011-03-04 18:06:00开ftp后可能是被robot try出ftp帐号密码, 也有可能是网站有漏洞被植入后门 .IP不用放弃 是机器的资料可能需要放弃XD
我记得绝大多数的ftp是会记录的mod_security的防御手法似乎十分粗糙可能会有系统已经不怕这些攻击的错觉
装modsecurity跟发挥是两码事,AP大洞FW也难全挡