近來又常常看到入侵本校 phpbb (做為 PHP-Nuke 的 module) 的 log,但因為這兩者漏洞實在太多,我已經一段時間不用了,但還是一直有嘗試連接這個 module 的訊息,推測應該是透過 Google 的 cache 找上門的。
如果伺服器上有裝過 phpnuke/phpbb 的,可以找一下 log: grep admin_users www.combined.log。
駭客主要有兩支 script:cmd.txt、phpnuke3.txt
第一支是用 php 寫的,可以直接透過 admin_users.php 執行,目的是顯示攻擊前所需的資訊,並抓回第二支程式執行。
第二支是 perl script,它會連到某 irc server,並讓駭客在該 irc server 下指令。
如果想知道自家伺服器是不是有中獎,也可以 ps 看看有沒有 /var/tmp/wops/is 這個程式在執行。
[[MORE]]幾年前 phpnuke 的作者,把 「PHP-Nuke Copyright © 2005 by Francisco Burzi. 」這一段訊息,強迫安裝者放在首頁上,如果拿掉就會採取所謂「法律行動」,當時就引起一番論戰。一派擁護「智慧財產權」,認為這跟商標無異,架站者應該保留有這個宣告,才不會被誤以為是用別的軟體安裝的。另一派則強調系統安全,認為暴露太多系統訊息(尤其是版本號碼),就等於是給駭客更多有用的資訊。
的確這幾年來,Google Hacking 成為駭客的新寵,因為若要入侵某版本的系統,只要在 Google 上找一下就可以翻到一堆受害者,不像以前要自己一個網段一個網段搜尋過去,風險因此降低許多。
所以一些 Open Source 的軟體也開始流行不標版號了。像是 Gallery 早期是大家都可以看見版號,現在則只有登入管理者才看得見。Drupal 也可以根據管理者需要,預設是不顯示版號,連「Drupal」的字樣都看不到。
我有空的話,則會把一些軟體的名稱改掉,比如說 phpbb 變成 PHP_B_B 之類的,這樣不知道有沒有違反著作權?
沒有留言:
張貼留言