热包子指的是整站的源码打的压缩包
miao.in的(mt)合租空间附带了强大的日志分析工具awstats
(合租的同学可进入站点setup开启)
在查看Required but not found URLs (HTTP code 404)
也就是发起请求,但没有对应文件的日志时发现
/mirserver.rar
/eWebEditor/admin_login.asp
/wolserver.rar
/Cmirserver.rar
/jinhuQQ.txt
/usergroup_0.php
/qq.txt
/wwwroot.rar
/www.zip
/web.rar
/wwwroot.zip
/.svn/
/data/fvtmdvbbs7.mdb
等等
热包子随处可见,比如
http://www.liaoyao.gov.cn/web.rar
gov,哈
这件事情告诉我们,
- 一定要看日志
- 肯定会被人扫描
- 打包是很便捷的方式,但绝对不要把热包子放在能通过url访问的目录!!!
(特别类似于wp-config.php里面的密码都是明文的) - 明文的密码,比如连接数据库用的配置文件里,这种密码一定要和其他的不一样
(最好是所有密码都不一样,我自己都做不到哈哈
不过我个人是把密码分等级,常用的不重要的就用简单的方便输入的密码,越重要越复杂,而且要定期更换) - 一些信息不要存成txt比如qq号码密码什么的存一块儿,最好分开,自己创建组合还原规则
- 如果用了subversion,那么一定要用.htaccess配置.svn文件夹不可通过url访问
- 数据库文件不能用mdb这种默认可下载后缀,一般asp程序会提醒你更改后缀比如也改成asp什么的
- 后台登陆地址不能用默认的比如wp-admin
(上个版本后台登录就爆了个漏洞)
特别是开源程序,知道源码就知道算法以及运行方式
(不过开源程序安全性相对也高,如果它发展到成熟期以及你及时打补丁,因为所有人都在维护,比如大家最爱的Linux) - 不要虾米目录都777,花15分钟google一下chmod了解目录权限的基础知识
- 不要把密码设置为女友们的生日,密码被破解是一回事,万一被女友发现是另一个女友… …
发表回复