热包子指的是整站的源码打的压缩包
miao.in的(mt)合租空间附带了强大的日志分析工具awstats
(合租的同学可进入站点setup开启)
在查看Required but not found URLs (HTTP code 404)
也就是发起请求,但没有对应文件的日志时发现
/mirserver.rar
/eWebEditor/admin_login.asp
/wolserver.rar
/Cmirserver.rar
/jinhuQQ.txt
/usergroup_0.php
/qq.txt
/wwwroot.rar
/www.zip
/web.rar
/wwwroot.zip
/.svn/
/data/fvtmdvbbs7.mdb
等等
热包子随处可见,比如
http://www.liaoyao.gov.cn/web.rar
gov,哈
这件事情告诉我们,
- 一定要看日志
- 肯定会被人扫描
- 打包是很便捷的方式,但绝对不要把热包子放在能通过url访问的目录!!!
(特别类似于wp-config.php里面的密码都是明文的) - 明文的密码,比如连接数据库用的配置文件里,这种密码一定要和其他的不一样
(最好是所有密码都不一样,我自己都做不到哈哈
不过我个人是把密码分等级,常用的不重要的就用简单的方便输入的密码,越重要越复杂,而且要定期更换) - 一些信息不要存成txt比如qq号码密码什么的存一块儿,最好分开,自己创建组合还原规则
- 如果用了subversion,那么一定要用.htaccess配置.svn文件夹不可通过url访问
- 数据库文件不能用mdb这种默认可下载后缀,一般asp程序会提醒你更改后缀比如也改成asp什么的
- 后台登陆地址不能用默认的比如wp-admin
(上个版本后台登录就爆了个漏洞)
特别是开源程序,知道源码就知道算法以及运行方式
(不过开源程序安全性相对也高,如果它发展到成熟期以及你及时打补丁,因为所有人都在维护,比如大家最爱的Linux) - 不要虾米目录都777,花15分钟google一下chmod了解目录权限的基础知识
- 不要把密码设置为女友们的生日,密码被破解是一回事,万一被女友发现是另一个女友… …
27 评论
添加您的 →大毛的博客好像有登录界面
@[痒痒]戈戈, wordpress还是比较放心的,属于成熟的程序 我miao.in用的就不是wp-admin了,哈哈啊
每次从阅读器进来就没沙发了。~~
大猫的空间不是Linux滴么。。哪来个ASP…
@fatkun, 呃,扫描是网址+常用后缀,然后开始扫描的,而且经常会遇到包子…
只记住第10…
@smallway, 谨记啊,后果最严重了
把博客文件放到子目录就稍微安全点吧
@Dianso, 随便起个名字然后丢进去就可以了,除非别人知道地址,不然猜不到的
哈哈,我的好像没怎么设置过权限目录,我的wp到现在还传不了图片。
@chisdy, 根目录755之后即使子目录777其他人也进不去的,wp-content可以chmod 777 -R一下,哈哈,这样主题能在线修改,文件也能上传
@bigCat, 哦?这样也可以哦,那要设置下了,免得每次都是从FTP传,累,不过也很少有图片就是了,哈哈。
@chisdy, 或者你给我域名我给你改
传完之后就把后缀改掉或者直接删掉就好了么
@timmy, 删掉是好主意,因为重新打包很快
👿 们
@Finvola, 么~
发现我的日志也差不多- –
不过还好我的文件名比较复杂
@A.shun, 嘿嘿,基本上所有问题都能在对应的日志里找出来
这种意思啊。
quote: 不要把密码设置为女友们的生日,密码被破解是一回事,万一被女友发现是另一个女友… …
发现了就说是我妈的。
❓
看看那个gov里面是什么 😆
@小墨, 好东西早被弄走了^
这些没什么,被扫习惯了,基本上我几天的这种日志文件都有5~6百KB,说来也怪,我的程序明明是PHP的,那些人偏要用asp的东东我的空间进行扫描。也许因为用asp的“天才”多吧!
@Asins, 😳 扫描的人也是套个字典批量扫,又没啥成本,管你asp还是php哈哈,国内空间确实asp多
大猫同学,我们又被干了。因为一直在使用你的smiles,url都没变,估计你偷尝了禁果,更新了2.8.5,于是你跟我(也许还有其他偷你流量的人)的表情通通地变成了大圆脸。怎么干?
@疯子, 😮 鄙视啊,不过算了,我流量用不完
告诉我一下我更新回来就好了
太悲哀了,不论怎么样也不能伤害自己的骨肉