感觉搬瓦工后台存在非常严重的安全隐患

2016-03-01 15:23:06 +08:00
 loveminds
在没有经过任何鉴权的情况下能够直接进入根目录

更严重的是, VNC 也没有任何鉴权,而且直接是root 权限执行
1478 次点击
所在节点    VPS
8 条回复
lvii
2016-03-01 17:35:02 +08:00
楼主可以开启两步认证。登录后台需要两步认证。要是 搬瓦工 被黑了。啥也不管用。
xrui
2016-03-01 18:24:01 +08:00
任何 ovz 小鸡都是这样的,只不过搬瓦工开发面板出来给你用了
loveminds
2016-03-01 19:58:11 +08:00
@xrui 但是 Solusvm 这些,起码串行控制台是需要鉴权的
loveminds
2016-03-01 20:00:26 +08:00
另外搬瓦工并不是都是玩具或者翻墙什么的
搬瓦工的几个 IP 段搜到一个阿三的 ERP
以及好几家主机商的 cPanel 登录面板
msg7086
2016-03-04 01:13:49 +08:00
本来就不需要鉴权。你登录后台面板已经鉴权过了。账号的拥有者当然能随便看。
Solusvm 的 Serial Console 只有远程 SSH 登录才要鉴权吧。
Tony1ee
2016-03-08 22:43:10 +08:00
@loveminds 是嘛 他们都用来干嘛呢
loveminds
2016-10-09 18:53:44 +08:00
@msg7086 后台控制面板可以类比为实体机器的 IPMI ,而正常情况下,透过 IPMI 操控服务器是需要通过鉴权的
msg7086
2016-10-09 23:51:09 +08:00
@loveminds 能登后台面板本身就是鉴权通过。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/260218

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX