:::
tad - Tad 碎碎念... | 2011-04-14 | 點閱數: 41068
image

最近陸續有幾間學校中了鏢,流量異常的大,檢查之下才知道是有些吃飽沒事幹的人利用XAMPP中的webdav來搞怪,裡面被擺了兩隻檔案,一隻用來觀察系統狀態及上傳檔案,另一隻則是用來攻擊別人。這是因為XAMPP剛裝好的狀態如下:

  1. MySQL 的系統管理者 (root) 預設沒有密碼。
  2. 可以透過任何網路來存取 MySQL。
  3. 可以透過任何網路來存取 PhpMyAdmin
  4. 可以透過任何網路來存取所有範例。
  5. Mercury 、WebDAV 和 FileZIlla的使用者都是已知的(正大光明寫在文件中及往佔上)。

換言之,若是您沒有做好一些措施,那麼,您的主機可以說是門戶大開的狀態。

底下是手動加強安全性的方法:

一、設定MySQL 的root 密碼

  1. 執行http://127.0.0.1/security/xamppsecurity.php來設定之
  2. phpMyAdmin 認證建議設定「http」
  3. 「Safe plain password in text file? 」勿勾選。

二、移除 /htdocs/ 目錄內不必要的目錄及檔案

底下這些都可以移除(紅色的地方必刪啊!)

  • C:\xampp\cgi-bin
  • C:\xampp\security\htdocs
  • C:\xampp\webdav
  • C:\xampp\htdocs\下的所有檔案目錄
  • C:\xampp\apache\conf\extra\httpd-dav.conf(移完請開啟 C:\xampp\apache\conf\httpd.conf,在 491 行之前需加入一個 # 註解符號,讓它不去執行"conf/extra/httpd-dav.conf" 即可,如:「# Include "conf/extra/httpd-dav.conf"」

三、移除FTP預設帳號密碼

檢查FTP Server是否啟動,若有可從XAMPP控制台FTP的Admin去做以下兩者的設定:

  • 變更FTP伺服器管理員密碼
  • 變更FTP預設使用者密碼
:::

搜尋

QR Code 區塊

https%3A%2F%2Ftad0616.cp27.secserverpros.com%2Fmodules%2Ftadnews%2Findex.php%3Fnsn%3D192

線上使用者

475人線上 (16人在瀏覽最新消息)

會員: 0

訪客: 475

更多…