06-4-29 網路攻擊攻防戰

前一天晚上早早十點多就上床去睡覺了,因為太早睡,所以半夜五點就睡不著,爬起來用一下電腦,忽然臨時起意想要更新 awstat 統計分析的程式,於是就去抓了最新版 6.5 下來,後來看呀看著,又覺得跟其他網域混在一起統計也不太好,於是又上網找了如何分開紀錄 Apache Log 的方法。
一切都設定完成後,發現了一個怪現象,在 error.log 中一直不斷的出現:
'wget' 不是內部或外部命令、
可執行的程式或批次檔。[#M_ 閱讀全文.. | 部分摘要..|
到 google 上找了許久,發現國外也有人在 error.log 出現 wget 的下載進度文字等等,但這些文字原本不應該在 error.log 出現的呀!後來又找了其他網頁,終於在
http://www.longwin.com.tw/~jon/blog/archives/2004_12.html
中的「crack 解析」一文中找到問題發生的原因。
原來這是有蠕蟲利用舊版 phpBB highlight 可以任意執行程式碼的漏洞,在不斷攻擊我之前的舊論壇,後來立即把舊論壇移除,並且檢查是否被植入了木馬或是什麼奇怪的檔案,還好 wget 是 UNIX 才有的指令,Windows 並沒有這個取得檔案的指令,所以攻擊者也無法下載相關的檔案在伺服器執行。
不過奇怪的是,檢查 Log 後發現攻擊者的 IP 來自四面八方,不是單獨一兩個IP而已,而且在移除之後仍然不斷的嘗試存取,不過現在也只會得到一個 404 訊息,真不知道這樣的攻擊到底會到何時才會結束…

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *