[注意安全]有架設moodle網站的學校請小心
前陣子幫忙維護主機時
發現別校的moodle內有駭客程式存在
它是利用可以寫入的 moodle 資料存放處
將程式寫在 DATA 的目錄內...
再由瀏覽器執行該駭客程式..用樣的手法
也曾出現在 sfs3 的 data 目錄下
但如果您的 sfs3 是定時更新的,
開發人員..早就修補好這個漏洞了..
不過您還是應該去設定data目錄下,不能執行php程式
[綜合性的建議]
sfs3也好、moodle也罷..Xoop 也是
只要您用的是開放源碼的套件,因為大家都一樣的用,
駭客就可以用一種方式,去攻擊很多機器。
因此,只要您的套件是可以寫入的
您就必須設定寫入的地方,不能執行PHP程式..
僅能有讀取的功能就好了。
這樣就可以讓那些,爬進您主機內的駭客程式
無法發揮它該有的功用。
如果您在 apache 的地方您就可以這樣設定
/etc/apache2/sites-enabled/000-default
<Directory "/home/webadmin/html/sfs3/data/">
AllowOverride None
php_flag engine off
Allow from all
</Directory>
