分類: hack

程式管理員中 httpd.exe 攻擊來源 “67.132.30.123” 發現吃資源吃很重
就去看網路流量 把我的上傳滿載

把該 httpd.exe關閉就解決了 不過還找不出原因

Appserv 2.5.10 的關係 可能要找一下怎麼排除了

---

最近有許多使用Appserv 2.5.10懶人包安裝的網站受到入侵，會造成流量爆量因此被鎖ip，請參考以下文章： 災情：http://163.20.156.8/ClassSystemV2/BoardContent.php?teacher_id=8&board_id=652 解決方式： [Appserv 漏洞修補] 請刪除 www 下的 appserv 目錄 由於 Appserv 架站包中預設的歡迎頁有漏洞。 所以請在安裝完各版本的 Appserv 後。務必將 www 目錄下的 appserv 目錄刪除！ 不然有心人可以取得網站的上傳權限，上傳廣告郵件程式，大量發送廣告郵件！ 請注意 www 目錄下有沒有 mailer.php 就是廣告郵件程式。 還有 windows 資料夾內是不是有異常的 php*.tmp 的程式！ 最近有駭客專挑這個漏洞，請儘速刪除！ 也不要忘了定期備份 appsev 資料夾哦！ 文章來源： http://163.30.124.150/teacher/index.php?op=ViewArticle&articleId=748&blogId=3

---

之前有架AppServ來玩 剛剛突然被停權
去查發現每10分鐘上傳7G 總共上傳19G
 然後發現Apache一直在動 吃很多CPU 切
換到別的網路就會發現每秒大約100MB在上傳
 Apache的log 裡面看的出有人動過 /phpMyAdmin/scripts/setup.php
然後發現我的帳號密碼進不去phpMyAdmin了 
現在appserv整個砍掉了
網路也沒有奇怪流量了
 台大計中正好有一篇講到這件事 跟我的症狀好像一模一樣 http://www.cc.ntu.edu.tw/chinese/epaper/0026/20130920_2607.html 
台大計中提出的建議
緊急措施: 刪除C:AppServwwwphpMyAdminscriptssetup.php
此為預設路徑，需確認主機setup.php的路徑）
重新啟動主機（務必清空主機記憶體中的攻擊程式） 建
議措施: 建議網站管理者將重要資料備份後，移除AppServ套件 並且重新安裝最新版的Apache、PHP、Mysql、PhpMyAdmin
 有架AppServ的小心點囉