從菲律賓DNS被攻破一事,檢視一下自己的WEB站台,是否也有相同的「人為疏失」
另外,感謝鄭老師提供了好方法,一行設定就可以解決,作法如下:
-----------------------------------------------------------------------------------------
我試過修改:/etc/apache2/mods-enabled/php5.conf
將
改成
然後 service apache2 restart
把.php~ 也當成php來執行
也可以暫時避免這個漏洞說
只是不知道會不會有其他副作用
------------------------------------------------------------------------------------------
筆者自己使用vi 去編輯了php檔案,並不會留下php~的檔案,測試了leafpad, vi, geany等都無此問題,只有gedit的編輯器會留下此暫存,所以在linux系統上,目前除了gedit外,無此情況,網站上所說的vim,應該是for windows版本的
筆者的測試:
以mediamosa的站台測試,以gedit編輯cron.php檔案後,將留下禍根
正常的php程式:
留下~後,將被視為一般文字檔(看光光)
果然,魔鬼藏在細節中,就算網站的防護做的好,但小疏失,可導致大損失
找出這些檔案:
知道有此問題後,就要去找出系統中的問題檔案,尤其是放在/var/www底下,以http對外服務的目錄,絕不應殘留這些檔案,但/var/www底下這麼多子目錄,要一層層下去找,會累死人,所以當然要使用有效率的指令,進行遞迴搜尋並處理,那就用find指令
find /var/www -name '*~' -printf "找到了!" -print;
找到了!/var/www/mediamosa/cron.php~
找到了!/var/www/mediamosa/install.php~
找到了!/var/www/mediamosa/modules/user/user.api.php~
找到了!/var/www/mediamosa/cron.php~
找到了!/var/www/mediamosa/install.php~
找到了!/var/www/mediamosa/modules/user/user.api.php~
當然,依筆者的習慣,find指令的參數相當多而雜,所以,寫成shell,以備不時之需
下載:ftp://ftp3.tn.edu.tw/Document/find~.sh
使用:
放到/root
chmod u+x find~.sh
./find~.sh
請輸入要檢查的目錄,如/var/www,/home/xxx/public_html
/var/www
檢查的位置是/var/www
13899368 4 -rw-r--r-- 1 root root 720 5月 14 16:29 /var/www/mediamosa/cron.php~
13899369 4 -rw-r--r-- 1 root root 688 5月 14 16:29 /var/www/mediamosa/install.php~
13899370 16 -rw-r--r-- 1 root root 14545 5月 14 16:30 /var/www/mediamosa/modules/user/user.api.php~
總共有3筆符合的檔案,要如何處置?(移動請輸入:m,刪除請輸入:d,按其他鍵離開)
m
移動到/var/~files/
請輸入要檢查的目錄,如/var/www,/home/xxx/public_html
/var/www
檢查的位置是/var/www
13899368 4 -rw-r--r-- 1 root root 720 5月 14 16:29 /var/www/mediamosa/cron.php~
13899369 4 -rw-r--r-- 1 root root 688 5月 14 16:29 /var/www/mediamosa/install.php~
13899370 16 -rw-r--r-- 1 root root 14545 5月 14 16:30 /var/www/mediamosa/modules/user/user.api.php~
總共有3筆符合的檔案,要如何處置?(移動請輸入:m,刪除請輸入:d,按其他鍵離開)
m
移動到/var/~files/
然後,檔案就移動到/var/~files/底下
再執行一次,確認無相關檔案
./find~.sh請輸入要檢查的目錄,如/var/www,/home/xxx/public_html
/var/www
檢查的位置是/var/www
總共有0筆符合的檔案,要如何處置?(移動請輸入:m,刪除請輸入:d,按其他鍵離開)
不做任何動作...
/var/www
檢查的位置是/var/www
總共有0筆符合的檔案,要如何處置?(移動請輸入:m,刪除請輸入:d,按其他鍵離開)
不做任何動作...
最後,筆者順便檢查了/home,發現還真不少這樣的檔案,雖非公開的目錄,但還是處理一下
後記:
避免將來使用gedit編輯檔案又留下這些檔案,所以要修改gedit的「偏好設定」
這樣,就不會留下這樣的檔案了
沒有留言:
張貼留言