什么样的情况会让黑客可以直接放一个文件夹上到你的网站上??

2016-11-24 11:04:46 +08:00
 SharkIng

先说下情况:

  1. Linode 的机子
  2. OneInStack 的脚本一键安装的 LANMP
  3. 有几个网站,但是出问题的总是那一个网站,两次了,应该是同一个人做的,放了一个钓鱼网站在那个问题网站的根目录, HSBC 钓鱼。
  4. 网站本身是 WordPress 的,用的一个免费模板,插件基本没有,其他也不知道什么了

现在想法:

  1. 机子本身禁止了 ROOT 登录,禁止了密码登录,用的是证书,证书有密码
  2. 应该不是机子暴露,否则为什么每次出事都是同一个网站?
  3. 没有 FTP ,所以应该不是 FTP 问题
  4. 感觉像是 WordPress 什么权限问题,但是不清楚

不知道有没有人遇到过类似的问题知道原因的?有什么办法根治这个问题么?

8601 次点击
所在节点    问与答
93 条回复
Vhc
2016-11-24 13:27:08 +08:00
@xrxsh 请查考 28 楼。
@lanyusea 不要自己失恋了就觉得全世界的人都失恋了,哈哈。
Vhc
2016-11-24 13:29:20 +08:00
@phpdever 物以类聚,人以群分。我也很稀罕金币!
Altman
2016-11-24 13:30:13 +08:00
使用这些开源软件的时候 记得设置恰当的权限
譬如: 把 wordpress 运行在 admin 账户下,但是 wordpress 所属其他账户,所有的目录 除去 uploads 目录,都只有执行权限
, uploads 目录除去执行权限。
ic2y
2016-11-24 13:37:36 +08:00
一楼这种就是:自我感觉良好,谁指出自己的问题就是喷子。古文上教的 三省吾身呢。一个人指出问题,说明他是个喷子,两个人指出问题,说明他们两个有偏见,那三个人四个人指出来呢??
lawlietxxl
2016-11-24 13:44:00 +08:00
很强势啊。我很羡慕。因为我做不到。
Vhc
2016-11-24 13:46:44 +08:00
@ic2y 若真是指出我的问题,我自然是要感谢的。你有看到有人指出我的问题吗?只是几个喷子在那乱碰,然后你就随大流的跟风对人指手画脚。这种风气真让人感到悲哀!
ic2y
2016-11-24 14:04:39 +08:00
@Vhc 戾气重的可以。这里是个社区,是一个家庭。楼上已经说了,你给提问者的回复戾气很重,你认为是乱碰那就没有办法喽。。你为我随大流感到悲哀。你有悲哀这个概念那是极好的,反正你的言语不值得我为你悲哀。
nikubenki
2016-11-24 14:11:40 +08:00
能不能举报一楼啊
LeoSocks
2016-11-24 14:30:11 +08:00
@Vhc 毛线关系,反人类,讽刺别人“厉害”,呵呵
这些都充满了嘲讽的味道,到底是你不懂得说话,还是大家看不懂呢?
楼主只是出现问题,请求帮助而已。
以 1 敌 10 ,敌 100 ,您颇有大将风范啊。
lllang
2016-11-24 14:30:26 +08:00
看看网站有没有文件上传的地方,可能是文件上传漏洞?
Vhc
2016-11-24 14:44:56 +08:00
@ic2y
@nikubenki
@LeoSocks 面对你们这一群喷子,我真的懒得再回复了。”毛线关系“、”反人类“。朋友、同事 之间说话都带这些词,从未觉得这些词有一点点的讽刺味道。算了,一个人的格局太小,真心善意的给你们讲些东西你们也只能听出讽刺的味道。随你们说吧,我不再解释了。
amustart
2016-11-24 14:46:52 +08:00
SQL 注入, XSS ,文件上传,一句话木马?应该都可以吧,对渗透不是特别熟悉, 建议,不要用那种一键装机脚本(可能有后门漏洞,而且一般不是最新版),最好全都自己来, wordpres 尽量安装最新版本。 你要知道 wordpress 和它的插件爆出的漏洞就有很多了,更不用说 0day 了
Vhc
2016-11-24 15:01:36 +08:00
@amustart
> SQL 注入, XSS ,文件上传,一句话木马?应该都可以吧
答: WordPress 后台有自动升级功能,最新版的 WordPress 不存在你所说的任何一条。
skylancer
2016-11-24 15:10:00 +08:00
@Vhc 看来你并不懂说话的艺术,网上还没什么,以后现实会有人教做人的
Vhc
2016-11-24 15:10:04 +08:00
@amustart
> 你要知道 wordpress 和它的插件爆出的漏洞就有很多了,更不用说 0day 了
答: WordPress 的插件众多,质量参差不齐,时而爆出漏洞也是常态。但是 WordPress 本身却极少爆出漏洞,即使爆出漏洞也是权限极低的,几乎没有可能拿到 WebShell 。
skylancer
2016-11-24 15:10:52 +08:00
噢我艹,搜了下这人的回帖,还是 b 了吧
Vhc
2016-11-24 15:12:39 +08:00
@skylancer 在你教别人做人前,请先学会怎么做人。今日若不听我劝,以后现实会有人教做人的。
Phariel
2016-11-24 15:14:44 +08:00
amustart
2016-11-24 15:17:29 +08:00
@Vhc https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=wordpress 全是 wordpress 的 CVE ,以及你确定最新版本的没有 0day ?
Ouyangan
2016-11-24 15:17:32 +08:00
为什么总是在吵架呢?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/322885

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX