有台使用 Apache、PHP、MariaDB 架構搭建的 Windows Web Server,上面跑著 Joomla,這些程式每半年都會更新到最新版本,但 ESET 的即時掃描每隔幾天就會描到 Apache 的 httpd.exe 在 C:\Windows\Temp 產生一些 php***.tmp 的木馬檔,而掃描整台伺服器,又沒有掃出異狀。
這個問題原本是在舊 Win Server 2003 + AppServ 環境發生,後來換一台 Win Server,分別安裝 Apache、PHP、MariaDB,連 Joomla 網站也重新建置,並設定 .htaccess 檔,後續定期更新各個套件,以及使用複雜性密碼,但後來還是又發生同樣問題。
之後請防毒廠商協助瞭解可能的原因,廠商建議我們關閉 php 的檔案上傳、下載功能後,总算没再发生,设法如下:
◎ 打开 php.ini,修改相关参数。
file_uploads = Off allow_url_fopen = Off
我们的网页很简单,所以可以将这两个值设置为 Off,等到有需要使用时,暂时打开就好,如果需要保持开启上传功能,可以考虑设置仅允许特定文件格式上传。
【参考链接】
- 特洛伊攻击 – PHP 一般帮助 – PHP 帮助
留下回复