被駭客攻擊 Appserv

程式管理員中 httpd.exe 攻擊來源 “67.132.30.123” 發現吃資源吃很重
就去看網路流量 把我的上傳滿載

把該 httpd.exe關閉就解決了 不過還找不出原因

Appserv 2.5.10 的關係 可能要找一下怎麼排除了


最近有許多使用Appserv 2.5.10懶人包安裝的網站受到入侵,會造成流量爆量因此被鎖ip,請參考以下文章:
災情:http://163.20.156.8/ClassSystemV2/BoardContent.php?teacher_id=8&board_id=652
解決方式:
[Appserv 漏洞修補] 請刪除 www 下的 appserv 目錄
由於 Appserv 架站包中預設的歡迎頁有漏洞。
所以請在安裝完各版本的 Appserv 後。務必將 www 目錄下的 appserv 目錄刪除!
不然有心人可以取得網站的上傳權限,上傳廣告郵件程式,大量發送廣告郵件!
請注意 www 目錄下有沒有 mailer.php 就是廣告郵件程式。
還有 windows 資料夾內是不是有異常的 php*.tmp 的程式!
最近有駭客專挑這個漏洞,請儘速刪除!
也不要忘了定期備份 appsev 資料夾哦!
文章來源:
http://163.30.124.150/teacher/index.php?op=ViewArticle&articleId=748&blogId=3

之前有架AppServ來玩 剛剛突然被停權
去查發現每10分鐘上傳7G 總共上傳19G
 然後發現Apache一直在動 吃很多CPU 切
換到別的網路就會發現每秒大約100MB在上傳
 Apache的log 裡面看的出有人動過 /phpMyAdmin/scripts/setup.php
然後發現我的帳號密碼進不去phpMyAdmin了 
現在appserv整個砍掉了
網路也沒有奇怪流量了
 台大計中正好有一篇講到這件事 跟我的症狀好像一模一樣 http://www.cc.ntu.edu.tw/chinese/epaper/0026/20130920_2607.html 
台大計中提出的建議
緊急措施: 刪除C:AppServwwwphpMyAdminscriptssetup.php
此為預設路徑,需確認主機setup.php的路徑)
重新啟動主機(務必清空主機記憶體中的攻擊程式) 建
議措施: 建議網站管理者將重要資料備份後,移除AppServ套件 並且重新安裝最新版的Apache、PHP、Mysql、PhpMyAdmin
 有架AppServ的小心點囉

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *