有台使用 Apache、PHP、MariaDB 架构搭建的 Windows Web Server,上面跑着 Joomla,这些程式每半年都会更新到最新版本,但 ESET 的即时扫描每隔几天就会描到 Apache 的 httpd.exe 在 C:\WindowsTemp 产生一些 php***.tmp 的木马档,而扫描整台伺服器,又没有扫出异状。
这个问题原本是在旧 Win Server 2003 + AppServ 环境发生,后来换一台 Win Server,分别安装 Apache、PHP、MariaDB,连 Joomla 网站也重新建置,并设定 .htaccess 档,后续定期更新各个套件,以及使用复杂性密码,但后来还是又发生同样问题。
之后请防毒厂商协助了解可能的原因,厂商建议我们关闭 php 的档案上传、下载功能后,总算没再发生,设法如下:
◎ 开启 php.ini,修改相关参数。
file_uploads = Off allow_url_fopen = Off
我们的网站很单纯,所以可以将这两个值设成 Off,等到有需要用时,暂时打开就好,如果需要保持开启上传功能,可以考虑设定仅允许特定档案格式上传。
【參考連結】
- 木马攻击 – 一般PHP帮助 – PHP帮助