:::
tad - Tad 碎碎念... | 2011-04-14 | 點閱數: 41069
image

最近陸續有幾間學校中了鏢,流量異常的大,檢查之下才知道是有些吃飽沒事幹的人利用XAMPP中的webdav來搞怪,裡面被擺了兩隻檔案,一隻用來觀察系統狀態及上傳檔案,另一隻則是用來攻擊別人。這是因為XAMPP剛裝好的狀態如下:

  1. MySQL 的系統管理者 (root) 預設沒有密碼。
  2. 可以透過任何網路來存取 MySQL。
  3. 可以透過任何網路來存取 PhpMyAdmin
  4. 可以透過任何網路來存取所有範例。
  5. Mercury 、WebDAV 和 FileZIlla的使用者都是已知的(正大光明寫在文件中及往佔上)。

換言之,若是您沒有做好一些措施,那麼,您的主機可以說是門戶大開的狀態。

底下是手動加強安全性的方法:

一、設定MySQL 的root 密碼

  1. 執行http://127.0.0.1/security/xamppsecurity.php來設定之
  2. phpMyAdmin 認證建議設定「http」
  3. 「Safe plain password in text file? 」勿勾選。

二、移除 /htdocs/ 目錄內不必要的目錄及檔案

底下這些都可以移除(紅色的地方必刪啊!)

  • C:\xampp\cgi-bin
  • C:\xampp\security\htdocs
  • C:\xampp\webdav
  • C:\xampp\htdocs\下的所有檔案目錄
  • C:\xampp\apache\conf\extra\httpd-dav.conf(移完請開啟 C:\xampp\apache\conf\httpd.conf,在 491 行之前需加入一個 # 註解符號,讓它不去執行"conf/extra/httpd-dav.conf" 即可,如:「# Include "conf/extra/httpd-dav.conf"」

三、移除FTP預設帳號密碼

檢查FTP Server是否啟動,若有可從XAMPP控制台FTP的Admin去做以下兩者的設定:

  • 變更FTP伺服器管理員密碼
  • 變更FTP預設使用者密碼
:::

搜尋

進階搜尋

QR Code 區塊

https%3A%2F%2Fmail.tad0616.cp22.secserverpros.com%2Fmodules%2Ftadnews%2Findex.php%3Fnsn%3D192

快速登入

Google OpenID 登入 login icon Line OpenID 登入 login icon 基隆市 OpenID 登入 login icon 新北市 OpenID 登入 login icon 新竹市 OpenID 登入 login icon 苗栗縣 OpenID 登入 login icon 彰化縣 OpenID 登入 login icon 雲林縣 OpenID 登入 login icon 嘉義縣 OpenID 登入 login icon 嘉義市 OpenID 登入 login icon 臺南市 OpenID 登入 login icon 屏東縣 OpenID 登入 login icon 澎湖縣 OpenID 登入 login icon

線上使用者

362人線上 (12人在瀏覽最新消息)

會員: 0

訪客: 362

更多…