彰縣自由軟體交流論壇 - Powered by Discuz! Board

標題: [注意安全]有架設moodle網站的學校請小心 [打印本頁]

作者: chiming 時間: 2011-4-6 10:20 標題: [注意安全]有架設moodle網站的學校請小心

前陣子幫忙維護主機時
發現別校的moodle內有駭客程式存在
它是利用可以寫入的 moodle 資料存放處
將程式寫在 DATA 的目錄內...
再由瀏覽器執行該駭客程式..用樣的手法
也曾出現在 sfs3 的 data 目錄下
但如果您的 sfs3 是定時更新的，
開發人員..早就修補好這個漏洞了..
不過您還是應該去設定data目錄下，不能執行php程式

[綜合性的建議]
sfs3也好、moodle也罷..Xoop 也是
只要您用的是開放源碼的套件，因為大家都一樣的用，
駭客就可以用一種方式,去攻擊很多機器。

因此，只要您的套件是可以寫入的
您就必須設定寫入的地方，不能執行PHP程式..
僅能有讀取的功能就好了。

這樣就可以讓那些，爬進您主機內的駭客程式
無法發揮它該有的功用。

如果您在 apache 的地方您就可以這樣設定
/etc/apache2/sites-enabled/000-default
<Directory "/home/webadmin/html/sfs3/data/">
AllowOverride None
php_flag engine off
Allow from all
</Directory>

作者: smat 時間: 2011-4-6 17:17

如果data內還有目錄呢?
需要每一層下目錄都設嗎?

作者: chiming 時間: 2011-4-6 20:21

會延續上層設定

歡迎光臨彰縣自由軟體交流論壇 (http://free.jls.idv.tw/)