教育部品德教育網被駭：起因Apache漏洞

教育部所屬的品德教育資源網站在周日晚間遭駭，並緊急將被駭的網站撤下。據了解，駭客所利用的是Apache漏洞。

「品德教育資源網」是教育部電子計算機中心委由國家教育研究院所架設，實體伺服器架設在國家教育研究院內。據電算中心組長莊育秀表示，昨夜在得知網站被駭之後，立即於深夜將被駭網頁撤下，並在今晨已派員前往教研所了解狀況。

經電算中心調查，在這次的網站被駭事件中，確定實體伺服器並未遭受入侵，駭客利用的是未修補的Apache漏洞。Apache是一個開放源碼的網頁伺服器，由於其跨平台特性而相當受到歡迎。

不過對於更多技術細節電算中心不願透露。據電算機中心表示，該網站大約在下午兩點半就正常上線，並已做好相關的系統備援。

教育部網站遭駭的訊息大約在周日晚間近11點時，首先由重灌狂人不來恩噗浪上發送出。昨夜連上該網站之後可見被駭網頁底色變黑之外，還有「Game Over」、帶有髏頭符號的「You’re Down!」，以及「HackeD By Tm3yShell7」等字樣。

據被駭網頁所留的資訊，品德教育網被駭可能起因於該網站把澳門的「德育中心網站」分類為「國外」網站而引起中國駭客的不滿。該名駭客在品德教育中心相關的網頁抓圖下方留話給網管人員「To administrator:大哥，你當您是美國的呢？把澳門叫國外？！……」等挑釁味十足的文字。

由於攻擊的技術細節不得而知，因此針對這個攻擊資安業者皆表示無法做深入分析。

但趨勢科技技術支援部經理簡勝財表示，通常來說，企業在避免網頁攻擊方面首先要注意經常修補作業系統、網頁伺服器、應用程式等安全漏洞之外，還必需注意網路管理權限的設定，例如預設的管理權限不能設得太高。此外，應用程式對於特殊字元（例如＃、％、＄…）的使用一定要做好管理。

然而，對於漏洞的修補問題，簡勝財表示，企業往往會陷於兩難。當企業知道有新漏洞時，若不修補，怕遭攻擊；若修補，又擔心因此而讓軟體無法正常運作等諸多問題。趨勢在去年底所推出的DeepSecurity可為企業提供進階的相關伺服器防護。