去年下半年的时候，部门的一台小服务器总是被断网，说是有恶意软件进行网络攻击。当时一直以为是计算机系统病毒，没有找对方向。后来就干脆停机不用了。今天终于知道是被人放上了执行 UDP flood 攻击的程序了。

这个小服务器其实就是一台普通的台式机，配置了固定 IP 来做简单的网页服务器。当时为了省事儿，装了个 Windows 2003 的操作系统，使用 XAMPP 来做网页服务器程序。现在换了台好些机器，单独装上了最小化的 CentOS + LAMP 做服务端程序（参考）。

这两天进行调试，发现有不少国外的 IP 一直在访问 2 个文件：/webdav/greenshell.php 和 /webdav/leaf.php。我很清楚，服务器上不应该有这样的文件，所以到网上查了查，才知道/webdav/greenshell.php 是一种 DoS 攻击的脚本文件，可以提供一个简单的界面（下图）供人提交信息，对特定 IP 执行 UDP flood 攻击。

从别的地方找到的一个还在运行的 greenshell 界面

现在基本可以确定，这是因为 XAMPP 被入侵，使用 WebDAV 服务放上了攻击程序。所以在此也提醒各位，如果使用 XAMPP 做为服务器端，或者使用 XAMPP 搭建 WebDAV 服务，需要注意 WebDAV 的访问控制，并定期检查 \xampp\webdav\ 下面是否有可疑程序（比如上面提到的那两个）。

唉，在这个网络比现实还危险的年代，由我这样的菜鸟来管理网络服务器真是灾难啊。铭记之。©

本文发表于水景一页。永久链接：<https://cnzhx.net/blog/another-server-had-been-compromised/>。转载请保留此信息及相应链接。