大猫 (Madao) - まるでダメなおっさん

热包子

by bigCat 26 Comments

热包子

热包子指的是整站的源码打的压缩包

miao.in的(mt)合租空间附带了强大的日志分析工具awstats
(合租的同学可进入站点setup开启)
在查看Required but not found URLs (HTTP code 404)
也就是发起请求,但没有对应文件的日志时发现

/mirserver.rar
/eWebEditor/admin_login.asp
/wolserver.rar
/Cmirserver.rar
/jinhuQQ.txt
/usergroup_0.php
/qq.txt
/wwwroot.rar
/www.zip
/web.rar
/wwwroot.zip
/.svn/
/data/fvtmdvbbs7.mdb
等等

热包子随处可见,比如
http://www.liaoyao.gov.cn/web.rar
gov,哈

这件事情告诉我们,

  1. 一定要看日志
  2. 肯定会被人扫描
  3. 打包是很便捷的方式,但绝对不要把热包子放在能通过url访问的目录!!!
    (特别类似于wp-config.php里面的密码都是明文的)
  4. 明文的密码,比如连接数据库用的配置文件里,这种密码一定要和其他的不一样
    (最好是所有密码都不一样,我自己都做不到哈哈
    不过我个人是把密码分等级,常用的不重要的就用简单的方便输入的密码,越重要越复杂,而且要定期更换)
  5. 一些信息不要存成txt比如qq号码密码什么的存一块儿,最好分开,自己创建组合还原规则
  6. 如果用了subversion,那么一定要用.htaccess配置.svn文件夹不可通过url访问
  7. 数据库文件不能用mdb这种默认可下载后缀,一般asp程序会提醒你更改后缀比如也改成asp什么的
  8. 后台登陆地址不能用默认的比如wp-admin
    (上个版本后台登录就爆了个漏洞)
    特别是开源程序,知道源码就知道算法以及运行方式
    (不过开源程序安全性相对也高,如果它发展到成熟期以及你及时打补丁,因为所有人都在维护,比如大家最爱的Linux)
  9. 不要虾米目录都777,花15分钟google一下chmod了解目录权限的基础知识
  10. 不要把密码设置为女友们的生日,密码被破解是一回事,万一被女友发现是另一个女友… …

Comments ( 26 )

  1. Reply胡戈戈
    大毛的博客好像有登录界面
    • ReplybigCat
      @[痒痒]戈戈, wordpress还是比较放心的,属于成熟的程序 我miao.in用的就不是wp-admin了,哈哈啊
  2. Replyfatkun
    每次从阅读器进来就没沙发了。~~ 大猫的空间不是Linux滴么。。哪来个ASP...
    • ReplybigCat
      @fatkun, 呃,扫描是网址+常用后缀,然后开始扫描的,而且经常会遇到包子...
  3. Replysmallway
    只记住第10...
  4. ReplyDianso
    把博客文件放到子目录就稍微安全点吧
    • ReplybigCat
      @Dianso, 随便起个名字然后丢进去就可以了,除非别人知道地址,不然猜不到的
  5. Replychisdy
    哈哈,我的好像没怎么设置过权限目录,我的wp到现在还传不了图片。
    • ReplybigCat
      @chisdy, 根目录755之后即使子目录777其他人也进不去的,wp-content可以chmod 777 -R一下,哈哈,这样主题能在线修改,文件也能上传
      • Replychisdy
        @bigCat, 哦?这样也可以哦,那要设置下了,免得每次都是从FTP传,累,不过也很少有图片就是了,哈哈。
  6. Replytimmy
    传完之后就把后缀改掉或者直接删掉就好了么
  7. ReplyFinvola
    :evil: 们
  8. ReplyA.shun
    发现我的日志也差不多- - 不过还好我的文件名比较复杂
    • Replybigcat
      @A.shun, 嘿嘿,基本上所有问题都能在对应的日志里找出来
  9. Reply诺基亚
    这种意思啊。
  10. ReplyEvance
    quote: 不要把密码设置为女友们的生日,密码被破解是一回事,万一被女友发现是另一个女友... ... 发现了就说是我妈的。 :?:
  11. Reply小墨
    看看那个gov里面是什么 :lol:
  12. ReplyAsins
    这些没什么,被扫习惯了,基本上我几天的这种日志文件都有5~6百KB,说来也怪,我的程序明明是PHP的,那些人偏要用asp的东东我的空间进行扫描。也许因为用asp的“天才”多吧!
    • ReplybigCat
      @Asins, :oops: 扫描的人也是套个字典批量扫,又没啥成本,管你asp还是php哈哈,国内空间确实asp多
  13. Reply疯子
    大猫同学,我们又被干了。因为一直在使用你的smiles,url都没变,估计你偷尝了禁果,更新了2.8.5,于是你跟我(也许还有其他偷你流量的人)的表情通通地变成了大圆脸。怎么干?
    • ReplybigCat
      @疯子, :o 鄙视啊,不过算了,我流量用不完 告诉我一下我更新回来就好了

Leave a reply

Your email address will not be published.

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>