分类
Codex

热包子

热包子

热包子指的是整站的源码打的压缩包

miao.in的(mt)合租空间附带了强大的日志分析工具awstats
(合租的同学可进入站点setup开启)
在查看Required but not found URLs (HTTP code 404)
也就是发起请求,但没有对应文件的日志时发现

/mirserver.rar
/eWebEditor/admin_login.asp
/wolserver.rar
/Cmirserver.rar
/jinhuQQ.txt
/usergroup_0.php
/qq.txt
/wwwroot.rar
/www.zip
/web.rar
/wwwroot.zip
/.svn/
/data/fvtmdvbbs7.mdb
等等

热包子随处可见,比如
http://www.liaoyao.gov.cn/web.rar
gov,哈

这件事情告诉我们,

  1. 一定要看日志
  2. 肯定会被人扫描
  3. 打包是很便捷的方式,但绝对不要把热包子放在能通过url访问的目录!!!
    (特别类似于wp-config.php里面的密码都是明文的)
  4. 明文的密码,比如连接数据库用的配置文件里,这种密码一定要和其他的不一样
    (最好是所有密码都不一样,我自己都做不到哈哈
    不过我个人是把密码分等级,常用的不重要的就用简单的方便输入的密码,越重要越复杂,而且要定期更换)
  5. 一些信息不要存成txt比如qq号码密码什么的存一块儿,最好分开,自己创建组合还原规则
  6. 如果用了subversion,那么一定要用.htaccess配置.svn文件夹不可通过url访问
  7. 数据库文件不能用mdb这种默认可下载后缀,一般asp程序会提醒你更改后缀比如也改成asp什么的
  8. 后台登陆地址不能用默认的比如wp-admin
    (上个版本后台登录就爆了个漏洞)
    特别是开源程序,知道源码就知道算法以及运行方式
    (不过开源程序安全性相对也高,如果它发展到成熟期以及你及时打补丁,因为所有人都在维护,比如大家最爱的Linux)
  9. 不要虾米目录都777,花15分钟google一下chmod了解目录权限的基础知识
  10. 不要把密码设置为女友们的生日,密码被破解是一回事,万一被女友发现是另一个女友… …

由bigCat

在XX季节不会乱飚尿,不会对同性及异性无情殴打,不会撕咬哭喊强烈要求夜间出门寻欢,无视异性哀号勾引,温柔敦厚寡言少语质保刚建文武两道的和谐社会型青壮年家养公猫

“热包子”上的27条回复

这些没什么,被扫习惯了,基本上我几天的这种日志文件都有5~6百KB,说来也怪,我的程序明明是PHP的,那些人偏要用asp的东东我的空间进行扫描。也许因为用asp的“天才”多吧!

大猫同学,我们又被干了。因为一直在使用你的smiles,url都没变,估计你偷尝了禁果,更新了2.8.5,于是你跟我(也许还有其他偷你流量的人)的表情通通地变成了大圆脸。怎么干?

bigCat进行回复 取消回复

电子邮件地址不会被公开。