部门的服务器果然被入侵过,铭记

去年下半年的时候,部门的一台小服务器总是被断网,说是有恶意软件进行网络攻击。当时一直以为是计算机系统病毒,没有找对方向。后来就干脆停机不用了。今天终于知道是被人放上了执行 UDP flood 攻击的程序了。

这个小服务器其实就是一台普通的台式机,配置了固定 IP 来做简单的网页服务器。当时为了省事儿,装了个 Windows 2003 的操作系统,使用 XAMPP 来做网页服务器程序。现在换了台好些机器,单独装上了最小化的 CentOS + LAMP 做服务端程序(参考)。

这两天进行调试,发现有不少国外的 IP 一直在访问 2 个文件:/webdav/greenshell.php/webdav/leaf.php。我很清楚,服务器上不应该有这样的文件,所以到网上查了查,才知道/webdav/greenshell.php 是一种 DoS 攻击的脚本文件,可以提供一个简单的界面(下图)供人提交信息,对特定 IP 执行 UDP flood 攻击。

从别的地方找到的一个还在运行的 greenshell 界面

现在基本可以确定,这是因为 XAMPP 被入侵,使用 WebDAV 服务放上了攻击程序。所以在此也提醒各位,如果使用 XAMPP 做为服务器端,或者使用 XAMPP 搭建 WebDAV 服务,需要注意 WebDAV 的访问控制,并定期检查 \xampp\webdav\ 下面是否有可疑程序(比如上面提到的那两个)。

唉,在这个网络比现实还危险的年代,由我这样的菜鸟来管理网络服务器真是灾难啊。铭记之。©

本文发表于水景一页。永久链接:<http://cnzhx.net/blog/another-server-had-been-compromised/>。转载请保留此信息及相应链接。

7 条关于 “部门的服务器果然被入侵过,铭记” 的评论

  1. 兄弟,私下提供下这两个php脚本给俺成不。 一直知道洪水攻击,但都不知道是要怎么处理的。

  2. 引用通告: Mod_Rewrite 的妙用:屏蔽不友好的访问 | 水景一页

  3. 引用通告: 服务器遭到又一波攻击 | 水景一页

雁过留声,人过留名

您的电子邮箱地址不会被公开。 必填项已用 * 标注

特别提示:与当前文章主题无关的讨论相关但需要较多讨论求助信息请发布到水景一页讨论区的相应版块,谢谢您的理解与合作!请参考本站互助指南
您可以在评论中使用如下的 HTML 标记来辅助表达: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>