網頁被竄改

教育部的伺服器已經搬到資訊處的機房來維修了。

經過蘇大哥一番解釋以後，才知道原來駭客在根目錄底下放了二個檔案，而且其他的網頁也被改過。用 Total Commander 把硬碟上的資料和備份的資料比對以後，發現幾乎所有的 ASP 檔案都增加了幾個 bytes，打開一看發現網頁最後方都用 iframe 連到另一個網站，難怪防毒都會跳出視窗警告，連網頁也被 Google 封鎖。

把根目錄那二個超大的 ASP 打開來看，前半部是二進位資料，後半部是程式，不過怎麼看都不像 ASP，網路上也沒這程式的資料。

把前後得到的結果整理一下：伺服器前有硬體防火牆，而且只開了 port 80；伺服器上也有防毒軟體；大部分的網頁都被竄改、還多了二個怪怪的檔案；伺服器設定、密碼都沒有被更動。

我在猜，可能是駭客先利用網頁上面的漏洞 (SQL Injection) 上傳那二個怪怪的檔案，因為放在根目錄的 ASP 是可被執行的，所以我懷疑那就是所謂的「Web Shell」程式。等 web shell 跑起來以後就可以讓駭客輸入指令讓伺服器執行。

So….以後網站的目錄、檔案權限不能開太高，最好設定成 744 就好，Windows 底下可以考慮設定成唯讀，只開放幾個目錄供上傳檔案就可以了。

我也實在有夠代塞，期末考前二天居然要出差到台北教育部，想害我大學讀五年嗎？

SQL Injection：
SQL Injection (資料隱碼)– 駭客的 SQL填空遊戲
拒絕SQL Injection
SQL Injection之解決建議措施及相關資訊彙整