[BUG反饋] WDCP 重大漏洞 密碼為明文 直接用PHP能讀取到密碼 默認(rèn)直接跨站

jsudi

最近,我的VPS上安置了幾個(gè)網(wǎng)站用戶,不知道是用戶 搞鬼 還是 網(wǎng)站織夢(mèng)程序本身漏洞,導(dǎo)致被上傳文件管理器,而且整個(gè)就跨站了,所有的網(wǎng)站都有木馬程序,整個(gè)被人操控,我試了,無論在哪個(gè)空間 搞一個(gè)file_get_contents(WDCP密碼路徑)這里不再細(xì)說了,你懂得,然后就讀取到WDCP密碼 其他一些密碼 端口 配置等等  都是可以直接讀取 所以說 這些寫重大隱患,搞個(gè)MD5也好吧其他網(wǎng)站的文件 更是隨意讀取修改 這就是跨站 最近被黑的太慘 感謝WDCP 給我?guī)�來方便的同時(shí) 也帶來麻煩  謝謝

jsudi

老鐵,密碼就在/www/wdlinux/wdcp/conf/mrpw.conf 明文的 難道 您不知道嗎 ?

jsudi

看到的就是WDCP登錄密碼啊 你說是SQL密碼 說明你 登錄密碼  和 SQL 密碼一樣的,其實(shí)其他的 FTP 密碼 也是明文的 本來LINUX 都是文本形式存在 只要獲得路徑 一切都曝光了

jsudi

回復(fù) 8# admin


    老鐵,絕對(duì)是 WDCP 的登錄密碼 這個(gè) 不用質(zhì)疑的 您老人家 還是先核實(shí)吧

jsudi

回復(fù) 8# admin


    不好意思 群主,仔細(xì)看了 應(yīng)該是 SQL 密碼 ,還是建議大家把各種密碼 設(shè)置不同吧 我就是設(shè)置一樣的 惹的禍

jsudi

如果 要進(jìn)行實(shí)際運(yùn)營(yíng) 還是要從APCHE 和 PHP 設(shè)置 等等基礎(chǔ)的安全上學(xué)  好好的優(yōu)化 否則 等于裸奔哦 我就是上當(dāng)了 被黑的很慘 一個(gè)站被下木馬 整個(gè)服務(wù)器 遭殃了 還是自己太過于信任WDCP 還是從基礎(chǔ)安全學(xué)習(xí) 考量吧