本來還以為是網站提供的特效Flash,只是看著看著竟然出現骷髏頭,然後說“Admin is Loser. You Are GAME OVER”,頓時了解原來網站被駭了!
接著再看一下網站首頁的原始碼,99%的可能性是用xoops架的,而且還是經由中心著名的講師二人組改寫的。本來想直接電話聯絡中心的人趕緊去處理,不過想想還是透過網路中心去處理好了!這樣也有個證人確認不是我眼花或我的電腦中標…
當然,當天下午網站就把那個模組拿掉了,過了二三天了吧!上網去看仍舊沒看到那個模組上線。
因為這件事,不禁想起十年前唸碩班的時候,有同學指出當時中心的研習網站有SQL injection的問題,而且使用者的帳號(當時用身份證)也可能洩漏了!只是當時只有「電腦處理個人資料保護法」,不像現在個資法的規範,所以大概也就過去了!
順便一提,網站首頁上有段「網站更新日期:....」是用javascript寫的,利用document.lastModified的。
這個方法在靜態網頁上是沒問題的,可是在php動態產生的網頁上,會顯示的是網頁產生時的時間。所以它一直顯示的都是目前的時間。不過,從網頁上看到的時間卻不是目前的時間,整整晚了8個小時。ㄟ~那不就是台北時區的值嗎?所以目前伺服器上的時間設定是有問題的囉!不知寫程式的人注意到了沒?!還是頭痛醫痛而己。
