[BUG反饋] WDCP 重大漏洞 密碼為明文 直接用PHP能讀取到密碼 默認直接跨站

jsudi

最近,我的VPS上安置了幾個網站用戶,不知道是用戶 搞鬼 還是 網站織夢程序本身漏洞,導致被上傳文件管理器,而且整個就跨站了,所有的網站都有木馬程序,整個被人操控,我試了,無論在哪個空間 搞一個file_get_contents(WDCP密碼路徑)這里不再細說了,你懂得,然后就讀取到WDCP密碼 其他一些密碼 端口 配置等等  都是可以直接讀取 所以說 這些寫重大隱患,搞個MD5也好吧其他網站的文件 更是隨意讀取修改 這就是跨站 最近被黑的太慘 感謝WDCP 給我?guī)�來方便的同時 也帶來麻煩  謝謝

admin

不知你是在哪里看，是明文，很好奇
而且，默認的數據庫文件，也只有root用戶可讀寫，其它用戶是不可讀的

jsudi

老鐵,密碼就在/www/wdlinux/wdcp/conf/mrpw.conf 明文的 難道 您不知道嗎 ?

行者無疆

剛測試了一下，這還真的是這樣的。

月下凝眸

剛剛看了一下，這里看到的是mysql密碼，還真是

jsudi

看到的就是WDCP登錄密碼啊 你說是SQL密碼 說明你 登錄密碼  和 SQL 密碼一樣的,其實其他的 FTP 密碼 也是明文的 本來LINUX 都是文本形式存在 只要獲得路徑 一切都曝光了

cqjian

我前段時間也被人拿了后臺，后來自己改了密碼，如果這樣有可能修改后的密碼他們也有可能拿到。

admin

這個是mysql的密碼，并不是wdcp的登錄密碼
為了小工具的方便用，確實是明文存儲。不過一般用戶是讀取不到的
這個文件的默認權限，應該是600，其它的用戶也讀不到的
可以檢查或重新設置一下
chmod 600 /www/wdlinux/wdcp/conf/mrpw.conf

jsudi

回復 8# admin


    老鐵,絕對是 WDCP 的登錄密碼 這個 不用質疑的 您老人家 還是先核實吧

jsudi

回復 8# admin


    不好意思 群主,仔細看了 應該是 SQL 密碼 ,還是建議大家把各種密碼 設置不同吧 我就是設置一樣的 惹的禍

jsudi

如果 要進行實際運營 還是要從APCHE 和 PHP 設置 等等基礎的安全上學  好好的優(yōu)化 否則 等于裸奔哦 我就是上當了 被黑的很慘 一個站被下木馬 整個服務器 遭殃了 還是自己太過于信任WDCP 還是從基礎安全學習 考量吧

Miker

回復 11# jsudi


    使用面板過程中，基本安全常識還是要了解一下的，比如root密碼wd登錄密碼等，千萬別一樣，還有弱口令，在不需要ssh的情況下，可以關閉ssh，ping也可以關閉掉的！

b15365637

回復 12# Miker

my明文也不怎么安全吧？

lqingdong

明文的確實不安全

KK5756376

怎樣才能找回wdcp密碼