最近陸續有幾間學校中了鏢,流量異常的大,檢查之下才知道是有些吃飽沒事幹的人利用XAMPP中的webdav來搞怪,裡面被擺了兩隻檔案,一隻用來觀察系統狀態及上傳檔案,另一隻則是用來攻擊別人。這是因為XAMPP剛裝好的狀態如下:
- MySQL 的系統管理者 (root) 預設沒有密碼。
- 可以透過任何網路來存取 MySQL。
- 可以透過任何網路來存取 PhpMyAdmin
- 可以透過任何網路來存取所有範例。
- Mercury 、WebDAV 和 FileZIlla的使用者都是已知的(正大光明寫在文件中及往佔上)。
換言之,若是您沒有做好一些措施,那麼,您的主機可以說是門戶大開的狀態。
底下是手動加強安全性的方法:
一、設定MySQL 的root 密碼
- 執行http://127.0.0.1/security/xamppsecurity.php來設定之
- phpMyAdmin 認證建議設定「http」
- 「Safe plain password in text file? 」勿勾選。
二、移除 /htdocs/ 目錄內不必要的目錄及檔案
底下這些都可以移除(紅色的地方必刪啊!)
- C:\xampp\cgi-bin
- C:\xampp\security\htdocs
- C:\xampp\webdav
- C:\xampp\htdocs\下的所有檔案目錄
- C:\xampp\apache\conf\extra\httpd-dav.conf(移完請開啟 C:\xampp\apache\conf\httpd.conf,在 491 行之前需加入一個 # 註解符號,讓它不去執行"conf/extra/httpd-dav.conf" 即可,如:「# Include "conf/extra/httpd-dav.conf"」)
三、移除FTP預設帳號密碼
檢查FTP Server是否啟動,若有可從XAMPP控制台FTP的Admin去做以下兩者的設定:
- 變更FTP伺服器管理員密碼
- 變更FTP預設使用者密碼