34 条回复  ·  507 次点击
hewiefsociety 小成 2024-7-30 09:05:24
花钱请人..比如我 😄
ken678 小成 2024-7-30 09:12:10
大概率是框架问题,和 composer 无关
xdzhang 小成 2024-7-30 09:45:54
阿里云有个 waf2.0 ,比较便宜,至少过滤规则啥的比较省心。
abccccabc 初学 2024-7-30 10:02:03
楼主,找到 thinkphp 的漏洞了没?我的站用 thinkphp5.0.24 也被改过文件,把我惹急了,直接把上传的地方取消了。消停了好久,最近,我的 aaPanel 挂了,起不来了。不晓得是不是黑客搞的鬼。还安装了一个 dzx3.4 ,不晓得是不是这个的问题。
JensenQian 小成 2024-7-30 10:30:56
宝塔啊
那正常
hanierming 小成 2024-7-30 10:39:58
定期升级框架,关注框架的安全修复日志,及时更新
stew5566 小成 2024-7-30 10:41:40
@pikko #1 小白求解,如果把 ssh 端口从 22 换成其他端口有用吗
ladypxy 小成 2024-7-30 10:56:58
首先开源代码,要及时更新。

php 网站,首先要把所有 php 文件权限设置成只读+运行。然后临时目录可以写但是不允许执行。
同时可以 nginx 里设置 php 白名单,即只有白名单的文件可以运行解析,其余的一概返回 444 。
lyxxxh2 小成 2024-7-30 11:01:53
作为一个 6phper,宝塔很正常啊。

自己部署? 在搞笑吗
先不说时间成本,就说安全。
宝塔默认生产环境,eval system 函数都给你禁了,.user.ini 也帮你设置好了。
人家就是专门做这个的,这么大用户量,他不知道安全是什么?
对于小白,自己部署会配置吗

我用了几年宝塔,也没见过被入侵。
composer 漏洞,要是有这个,早就暴雷了,就像之前 tp 上传漏洞暴雷。
autoload_real.php 每次请求都会加载,又隐蔽,确实是放马的好位置。

至于漏洞,估代码的问题,很大可能是上传问题。
1. 源头验证:校验后缀。  (校验 mine-type 没用,随便绕 后缀现在似乎不行了)
2. 不给执行: 上传保存路径是 public,别人访问就可以直接执行,或者直接换成云存储。
当然不排除服务器被攻克的可能。
jeepc 小成 2024-7-30 11:15:15
@stew5566 #37 当然没用
返回顶部