Re: [請益] 系統多了一個php檔案 那個檔案可以控制 …
※ 引述《williamsydu (william)》之銘言:
: 剛剛發現到
: 在目錄內多了一個php檔案
: 把那個檔案打開來看 似乎是針對mysql的漏洞
: 來加以控制資料庫
: 程式開頭是
: $PASSWORD = "tryag_vb";
: $USERNAME = "102030";
: 剛用google找了一下 感覺很多主機都中獎了
: 請問一下有人知道這個漏洞嗎? 謝謝
我公司也被放過SPY的檔案
所以請好好檢查所有網頁有上傳程式的地方
格式..大小..副檔名...該判斷的都要判斷
再來就是這些頁面是不是需要帳號密碼或是COOKIE進來的
如果不用要想辦法不要讓別人容易連進來
要擋之類的.....
但是如果是模擬網域...那就沒辦法了
另外就是register_globals有開啟的話請關掉
所有變數都要經過編碼過...例如 htmlspecialchars
基本的防駭要有
剩下的就靠代管端囉
或是自行提高安全機制
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 111.240.129.159
PHP 近期熱門文章
PTT數位生活區 即時熱門文章
