當前位置:首頁 » 亚游集团 » 正文

最近都比較忙,很少打理博客,昨天一位老客戶向我反應我的網站被掛馬了,還給我截圖了。此時我還在外面,用手機查看了下,果然是被掛馬了。回到家后迅速停止了網站訪問,并把當前被掛馬的源碼打包到本地,也同時恢復了我本地的源碼,網站恢復正常。

網站雖恢復正常,但是由于被掛馬,被惡意轉跳到菠菜網站,導致百度搜索里也被修改了:

怕接下來還會被掛馬,我把一些不常用的文件都刪掉了,權限也檢查了一遍沒什么問題。阿里云昨天凌晨4點幫我檢測到了多個木馬文件,沒有太在意以為是誤報,沒想到是真的。接下來就是查掛馬原因了,先檢查Nginx訪問日志,由于一整天的日志太多,不太好查,這時候剛好過了12點,我正準備先上服務器刪掉一些無關文件時,在根目錄竟然發現又多了一個log.php文件,下載下來果然是木馬文件。馬上查看日志,這時候日志內容不多,一條明顯的注入鏈接就出來了:

AG亚游集团 這樣基本上就能確定是由于ThinkPHP框架漏洞導致的了,馬上網上搜搜了下相關的漏洞信息,發現ThinkPHP5.1.x有好多個版本都有漏洞

我正在使用的版本就是其中之一,我也不想馬上去驗證,先迅速更新到最新版,并且服務器上也做了更嚴格的限制,暫時應該是解決了這個漏洞問題。經過這次被掛馬,也給我敲了個警鐘,平時我也非常注重安全問題,對用戶提交到參數也是非常嚴格過濾,但是萬萬沒想到ThinkPHP爆出那么大的漏洞,還偏偏讓我給遇上了。我的其它站都是采用我自己寫的PHP框架,本來前段時間也打算把AG亞游集團官網這個站也換上自己的PHP框架,但由于本站功能還挺多,遷移比較麻煩就放棄了。

AG亚游集团 用開源框架到也不是什么壞事,但是用的人多,也就越多黑客關注。ThinkPHP是一款很不錯的PHP框架,不過我還是更喜歡自己寫的框架,加上這次被掛馬不得不放棄了它了,有空我還是會把本站的框架換掉。

安全第一!安全第一!

開源中國報道:

本文地址:http://qingfenggongsi.com/thinkphp51.html
本文作者:火端,轉載請務必以超鏈接形式注明出處。
本文標簽:ThinkPHP,漏洞
 關鍵詞: ThinkPHP5.1  ThinkPHP5漏洞  ThinkPHP5.1.X注入  
發表評論

昵稱 (必填)

郵箱 (選填,可收到作者回復信息)

網址 (選填)

  • 06月18日 回復

    AG亚游集团ThinkPHP到處都是洞,不敢用了。

  • 蝸蝸 03月30日 回復

    自己寫的框架能有成熟的框架安全嗎?漏洞會不會更多。

  • 火端 04月07日 回復

    不開源出去會安全很多

  • 01月25日 回復

    AG亚游集团主機上安裝一些防護工具,比如安全狗之類的,對網站跟目錄設置只讀,這樣就算有漏洞,對方也無法上傳木馬。

  • 火端 02月03日 回復

    多謝建議。其實也是我自己疏忽了,程序很嚴謹,但萬萬沒想到框架有這么大的漏洞。現在做了很多限制,應該是沒法隨意寫入了

  • 01月05日 回復

    牛逼

  • 火端 01月05日 回復

    被掛馬了還牛逼

  • faker 01月24日 回復

    @火端 我在做畢業設計,但是無限極評論的前端我不會寫,能不能把你的評論代碼共享一下,最好也有后端的代碼帶數據庫,我想把這個獨立出來,當做一個插件,像倡言一樣使用js引入

  • faker 01月24日 回復

    @火端 希望能夠得到你的幫助,非常感謝

  • faker 01月24日 回復

    @火端 被刪了?

  • faker 01月24日 回復

    AG亚游集团@火端 這個評論好像只能顯示兩級

  • 火端 02月03日 回復

    @faker 目前評論暫時需要審核,最近比較忙,沒看到哈

  • 火端 02月03日 回復

    @faker 我這個評論系統專門為自己這個程序設計的,不太好拿出來,網上應該有很多類似的源碼,可以多搜索下看看

  • 亞當博客 01月04日 回復

    AG亚游集团博主的界面做的跟wp之類的博客都差不多,ui還可以的。 換laravel框架撒

  • 火端 01月05日 回復

    laravel似乎比較慢,我對性能要求高點,打算換成自己寫的框架。

  • 石家莊青年 2018年12月26日 回復

    好想也要一份你的新框架,哈哈,那樣就安全無憂了。

  • AG亞游集團官網 2018年12月26日 回復

    AG亚游集团也不敢保證百分百安全,只是代碼不開源,加上自己的框架可以限制更嚴格,別人比較難找到漏洞。

  • 上海SEO老張 2018年12月24日 回復

    老火,你這主題好喜歡,是WP的么,能分享下不

  • AG亞游集團官網 2018年12月24日 回復

    我這個博客程序是自己寫的,不是WP程序哈

  • 小于 2018年12月23日 回復

    哈,想不到火哥也挨掛馬了。我一個朋友前些天也是被掛馬了,也是用的ThinkPHP5,具體版本不知道是多少。

  • AG亞游集團官網 2018年12月24日 回復

    我剛才在今日頭條發現有個人和我一樣中招了,掛的馬都一樣

站內搜索