Typecho install. PHP 中有后门

@zgk 不会有人关心你的 root 权限或者其他文件，有网站本身运行的权限，就可以拿来爆你的数据库，以及做肉机 ddos 了

@zgk 不要把漏洞分析和漏洞利用混为一谈。

当年很多人在说换 Typecho 的时候，我忍住了继续用臃肿的 WP，因为之前用 z-blog 一段时间后也是忍不住换回了 WP。
现在用自己开发的博客（ django 框架）……既能装逼，又有官方维护底层框架，岂不美哉？ hiahia~

@zgk 对后门如此宽容，是平时戴习惯原谅帽吗？

一直用的 typecho，不过既然出了漏洞，就把 install.php 改成输出一句话吧 = =

这段代码只要你设置了正确的 referer，然后加上一个 finish 参数就可以进入到这个分支中，他会直接反序列化 cookie 中传入的一个值，然后进行一些 db 初始化操作，但是这个初始化操作实际上没有任何一丁点作用，所以这里有这段代码本身就非常奇怪

@joyqi 的最新文章说明了这个问题
https://joyqi.com/typecho/about-typecho-20171027.html

@CreSim 试试 GRAV 静态的 挺好的

@ctsed
@bbsteel
可能我的表述还是有点问题，sorry，并不是说我对漏洞和后门宽容的意思，平时注意好程序的执行权限的分配，在搞清楚漏洞发生的原因还有解决方式的情况下，不需要太过于紧张吧。

我个人是十分信任 Typecho 的作者的，Typecho 也是陪伴着我入门编程和 Web 的一个程序，也比较有感情，所以我比较倾向于维护作者这边。

@hjc4869 这一点我的确没考虑清楚，我只想着文件那一块了，感谢你指出我的不足。

@zgk 看了下官方回应，还算比较可信的，看来应该是误会。

我记得我貌似没删除 install.php

https://joyqi.com/typecho/about-typecho-20171027.html 貌似官方有解释了

歪个楼，看第二篇文章，看到说“鸡儿用没有”的措辞后，仔细看了看这不是阿里云牌子的公众号吗，如此措辞，不太好吧？

还是自己写的放心...

@lichifeng #48 感谢，GRAV 真的好棒，感觉又打开了一个新的大门，我已经决定认真研究这个 cms 然后把主站搬过去了!

@CreSim 我很喜欢这个，很 GEEK，但是它一直没在流行起来不知道为什么。大概中文资料太少了

@Kilerd 其实昨天我偷偷帮你把 install.php 删掉了..

```php
<?php die("404 Not found");?>
```

强迫症也是有好处的, 安装完第一时间就把 install.php 删掉了.

在用 Hexo （逃跑