教育部的伺服器已經搬到資訊處的機房來維修了。
經過蘇大哥一番解釋以後,才知道原來駭客在根目錄底下放了二個檔案,而且其他的網頁也被改過。用 Total Commander 把硬碟上的資料和備份的資料比對以後,發現幾乎所有的 ASP 檔案都增加了幾個 bytes,打開一看發現網頁最後方都用 iframe 連到另一個網站,難怪防毒都會跳出視窗警告,連網頁也被 Google 封鎖。
把根目錄那二個超大的 ASP 打開來看,前半部是二進位資料,後半部是程式,不過怎麼看都不像 ASP,網路上也沒這程式的資料。
把前後得到的結果整理一下:伺服器前有硬體防火牆,而且只開了 port 80;伺服器上也有防毒軟體;大部分的網頁都被竄改、還多了二個怪怪的檔案;伺服器設定、密碼都沒有被更動。
我在猜,可能是駭客先利用網頁上面的漏洞 (SQL Injection) 上傳那二個怪怪的檔案,因為放在根目錄的 ASP 是可被執行的,所以我懷疑那就是所謂的「Web Shell」程式。等 web shell 跑起來以後就可以讓駭客輸入指令讓伺服器執行。
So….以後網站的目錄、檔案權限不能開太高,最好設定成 744 就好,Windows 底下可以考慮設定成唯讀,只開放幾個目錄供上傳檔案就可以了。
我也實在有夠代塞,期末考前二天居然要出差到台北教育部,想害我大學讀五年嗎?
SQL Injection:
SQL Injection (資料隱碼)– 駭客的 SQL填空遊戲
拒絕SQL Injection
SQL Injection之解決建議措施及相關資訊彙整