Typecho install. PHP 中有后门

越来越懒，现在都改用静态博客系统了。发文章只要 `git push` 一下就行，方便。

莫慌莫慌，几天前已经修复了，如果等不及正式版，可以先删掉 install.php

@xnotepad 越来越懒，最后还是换回了 wp，操作方便。

正常人安装完不会把 install.php 删了吗

@joyqi 惊了，commit 本人

@joyqi 是作者么。。

防不胜防啊, 赶紧偷偷删了 install.php

大家都说删了 install 就行了，就没有人想问问 @joyqi 为什么会有这段代码吗？

@joyqi 1.1 正式版多久发布呀，用了开发版一段时间了。

哇

“已经修复”，呵呵呵呵。

？？？这也太恶心了吧

凉了，准备换掉 typecho

"我们发现 祁宁 其实就是 joyqi，而 joyqi 是 typecho 的核心开发者，他把这段代码在 2014-04-08 写好后直接提交在了 master 中，查看 v0.9-14.5.25 的 releases，其中已经包含了这段代码，也就是说，这段代码形似后门的代码由核心开发者提交后，存在了三年半的时间，都没有任何人发现。。。。

那么究竟是谁添加的这段鸡儿用没有，但是谁都看不出来的代码呢。。。。。可能是 14 年的时候 joyqi 对账号被人黑掉了吧，也或许，这真的是开发者的一时手滑。细思恐极。"

@joyqi

@joyqi #21 这来一句修复就好了？不准备解释点什么吗？

好吓人，用过一段 typecho，还好现在不搞 blog 那套了。

install.php 和 install 目录 不是安装后第一时间干掉么？

方什么呢，漏洞本身并没那么容易利用啊
https://paper.seebug.org/424/

部署的时候把运行 php-fpm 的用户独立开，配置好权限，让它只对 usr/uploads 才有写入权限，即使是 getshell 应该也不用太担心吧。

翻了下日志，还真的中招了，后门都种好了。

[26/Oct/2017:23:59:28 +1100] "POST /var/PasswordHash.php HTTP/1.1" 200 7 "https://***/" "Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)"

@zgk 呵呵，在你网站上搞个 shell 给大伙玩玩？