热包子

热包子

热包子指的是整站的源码打的压缩包

miao.in的(mt)合租空间附带了强大的日志分析工具awstats
(合租的同学可进入站点setup开启)
在查看Required but not found URLs (HTTP code 404)
也就是发起请求,但没有对应文件的日志时发现

/mirserver.rar
/eWebEditor/admin_login.asp
/wolserver.rar
/Cmirserver.rar
/jinhuQQ.txt
/usergroup_0.php
/qq.txt
/wwwroot.rar
/www.zip
/web.rar
/wwwroot.zip
/.svn/
/data/fvtmdvbbs7.mdb
等等

热包子随处可见,比如
http://www.liaoyao.gov.cn/web.rar
gov,哈

这件事情告诉我们,

  1. 一定要看日志
  2. 肯定会被人扫描
  3. 打包是很便捷的方式,但绝对不要把热包子放在能通过url访问的目录!!!
    (特别类似于wp-config.php里面的密码都是明文的)
  4. 明文的密码,比如连接数据库用的配置文件里,这种密码一定要和其他的不一样
    (最好是所有密码都不一样,我自己都做不到哈哈
    不过我个人是把密码分等级,常用的不重要的就用简单的方便输入的密码,越重要越复杂,而且要定期更换)
  5. 一些信息不要存成txt比如qq号码密码什么的存一块儿,最好分开,自己创建组合还原规则
  6. 如果用了subversion,那么一定要用.htaccess配置.svn文件夹不可通过url访问
  7. 数据库文件不能用mdb这种默认可下载后缀,一般asp程序会提醒你更改后缀比如也改成asp什么的
  8. 后台登陆地址不能用默认的比如wp-admin
    (上个版本后台登录就爆了个漏洞)
    特别是开源程序,知道源码就知道算法以及运行方式
    (不过开源程序安全性相对也高,如果它发展到成熟期以及你及时打补丁,因为所有人都在维护,比如大家最爱的Linux)
  9. 不要虾米目录都777,花15分钟google一下chmod了解目录权限的基础知识
  10. 不要把密码设置为女友们的生日,密码被破解是一回事,万一被女友发现是另一个女友… …

已发布

分类

来自

标签:

评论

《“热包子”》 有 27 条评论

  1. 胡戈戈 的头像

    大毛的博客好像有登录界面

    1. bigCat 的头像

      @[痒痒]戈戈, wordpress还是比较放心的,属于成熟的程序 我miao.in用的就不是wp-admin了,哈哈啊

  2. fatkun 的头像

    每次从阅读器进来就没沙发了。~~

    大猫的空间不是Linux滴么。。哪来个ASP…

    1. bigCat 的头像

      @fatkun, 呃,扫描是网址+常用后缀,然后开始扫描的,而且经常会遇到包子…

  3. smallway 的头像

    只记住第10…

    1. bigCat 的头像

      @smallway, 谨记啊,后果最严重了

  4. Dianso 的头像

    把博客文件放到子目录就稍微安全点吧

    1. bigCat 的头像

      @Dianso, 随便起个名字然后丢进去就可以了,除非别人知道地址,不然猜不到的

  5. chisdy 的头像

    哈哈,我的好像没怎么设置过权限目录,我的wp到现在还传不了图片。

    1. bigCat 的头像

      @chisdy, 根目录755之后即使子目录777其他人也进不去的,wp-content可以chmod 777 -R一下,哈哈,这样主题能在线修改,文件也能上传

      1. chisdy 的头像

        @bigCat, 哦?这样也可以哦,那要设置下了,免得每次都是从FTP传,累,不过也很少有图片就是了,哈哈。

        1. bigCat 的头像

          @chisdy, 或者你给我域名我给你改

  6. timmy 的头像

    传完之后就把后缀改掉或者直接删掉就好了么

    1. bigCat 的头像

      @timmy, 删掉是好主意,因为重新打包很快

  7. A.shun 的头像

    发现我的日志也差不多- –
    不过还好我的文件名比较复杂

    1. bigcat 的头像

      @A.shun, 嘿嘿,基本上所有问题都能在对应的日志里找出来

  8. 诺基亚 的头像

    这种意思啊。

  9. Evance 的头像

    quote: 不要把密码设置为女友们的生日,密码被破解是一回事,万一被女友发现是另一个女友… …

    发现了就说是我妈的。

  10. 小墨 的头像

    看看那个gov里面是什么 😆

    1. bigCat 的头像

      @小墨, 好东西早被弄走了^

  11. Asins 的头像

    这些没什么,被扫习惯了,基本上我几天的这种日志文件都有5~6百KB,说来也怪,我的程序明明是PHP的,那些人偏要用asp的东东我的空间进行扫描。也许因为用asp的“天才”多吧!

    1. bigCat 的头像

      @Asins, 😳 扫描的人也是套个字典批量扫,又没啥成本,管你asp还是php哈哈,国内空间确实asp多

  12. 疯子 的头像

    大猫同学,我们又被干了。因为一直在使用你的smiles,url都没变,估计你偷尝了禁果,更新了2.8.5,于是你跟我(也许还有其他偷你流量的人)的表情通通地变成了大圆脸。怎么干?

    1. bigCat 的头像

      @疯子, 😮 鄙视啊,不过算了,我流量用不完
      告诉我一下我更新回来就好了

  13. 嘟嘟 的头像

    太悲哀了,不论怎么样也不能伤害自己的骨肉

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注