相关链接: Install.php 代码分析 Typecho 事件始末 各位大佬自查一下?
1
Sanko 2017-10-27 08:53:58 +08:00 via Android
方了
|
2
xiqingongzi 2017-10-27 08:58:30 +08:00
|
3
RobertYang 2017-10-27 08:58:50 +08:00 via Android
前排吃瓜,还好没有 typecho 的站
|
6
iFlicker 2017-10-27 09:00:27 +08:00 via Android
正在用。。。
|
7
kn007 2017-10-27 09:03:01 +08:00 via Android
唔,不用 typecho 的路过
|
8
Kilerd 2017-10-27 09:05:26 +08:00 via iPhone
正好找个借口换了 typecho
|
9
arnofeng 2017-10-27 09:06:15 +08:00
删了 install.php 就行了呗
|
10
torbrowserbridge 2017-10-27 09:13:35 +08:00
是此人吗,sf 创始人?
|
11
blakejia 2017-10-27 09:16:50 +08:00
正好找个借口换了 typecho + 1
|
12
CreSim 2017-10-27 09:20:01 +08:00 via Android
问一下你们换了 typecho 准备用什么呢,静态博客是真的不想用
|
13
miyuki 2017-10-27 09:20:28 +08:00 via Android
吃瓜
|
14
trydgame 2017-10-27 09:20:55 +08:00 via Android
吃瓜群众
|
15
f2f2f 2017-10-27 09:21:08 +08:00
国产 blog 系统真是挂的差不多了。还是老实用臃肿的 wp 吧
|
16
lidasd 2017-10-27 09:23:30 +08:00
吃瓜
|
17
zrj766 2017-10-27 09:24:21 +08:00 via Android
typecho 一直当做记事本,搞吧搞吧,我那个笔记本站搞了没任何价值,2333,反正本地 网盘都有备份
|
18
FFLY 2017-10-27 09:24:43 +08:00
还好很久之前就已经不用了
|
19
kn007 2017-10-27 09:25:25 +08:00 via Android 1
@f2f2f 其实臃肿只是功能多,觉得用不上而已。wordpress 优化好,蛮快。( wordpress 有点像 Android,你需要折腾)
像我,感觉很多功能就能用得上,而且速度比 typecho 也没区别啊,相反我没觉得 typecho 快多少。 美国机: https://kn007.net |
20
CEBBCAT 2017-10-27 09:28:12 +08:00 via Android
每次梯子成批跪、安全大漏洞都有人说“还好 balabalabala ”
🤤 |
21
xnotepad 2017-10-27 09:28:17 +08:00
越来越懒,现在都改用静态博客系统了。发文章只要 `git push` 一下就行,方便。
|
22
joyqi 2017-10-27 09:31:29 +08:00 via iPhone 8
莫慌莫慌,几天前已经修复了,如果等不及正式版,可以先删掉 install.php
|
24
Tink 2017-10-27 09:33:20 +08:00 via iPhone
正常人安装完不会把 install.php 删了吗
|
27
minbaby 2017-10-27 09:39:27 +08:00
防不胜防啊, 赶紧偷偷删了 install.php
|
30
junbguistar 2017-10-27 09:55:23 +08:00
哇
|
31
torbrowserbridge 2017-10-27 09:57:26 +08:00
“已经修复”,呵呵呵呵。
|
32
nazor 2017-10-27 10:12:15 +08:00 via iPhone
???这也太恶心了吧
|
33
demo 2017-10-27 10:30:38 +08:00 1
凉了,准备换掉 typecho
|
34
nazor 2017-10-27 11:13:32 +08:00 2
"我们发现 祁宁 其实就是 joyqi,而 joyqi 是 typecho 的核心开发者,他把这段代码在 2014-04-08 写好后直接提交在了 master 中,查看 v0.9-14.5.25 的 releases,其中已经包含了这段代码,也就是说,这段代码形似后门的代码由核心开发者提交后,存在了三年半的时间,都没有任何人发现。。。。
那么究竟是谁添加的这段鸡儿用没有,但是谁都看不出来的代码呢。。。。。可能是 14 年的时候 joyqi 对账号被人黑掉了吧,也或许,这真的是开发者的一时手滑。细思恐极。" @joyqi |
36
bsder 2017-10-27 11:27:40 +08:00
好吓人,用过一段 typecho,还好现在不搞 blog 那套了。
|
37
ScotGu 2017-10-27 11:49:50 +08:00
install.php 和 install 目录 不是安装后第一时间干掉么?
|
38
zgk 2017-10-27 11:51:46 +08:00
方什么呢,漏洞本身并没那么容易利用啊
https://paper.seebug.org/424/ 部署的时候把运行 php-fpm 的用户独立开,配置好权限,让它只对 usr/uploads 才有写入权限,即使是 getshell 应该也不用太担心吧。 |
39
Mutoo 2017-10-27 11:53:27 +08:00 1
翻了下日志,还真的中招了,后门都种好了。
[26/Oct/2017:23:59:28 +1100] "POST /var/PasswordHash.php HTTP/1.1" 200 7 "https://***/" "Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)" |
41
hjc4869 2017-10-27 12:02:45 +08:00 via iPhone
@zgk 不会有人关心你的 root 权限或者其他文件,有网站本身运行的权限,就可以拿来爆你的数据库,以及做肉机 ddos 了
|
43
xvx 2017-10-27 12:43:04 +08:00 via iPhone
当年很多人在说换 Typecho 的时候,我忍住了继续用臃肿的 WP,因为之前用 z-blog 一段时间后也是忍不住换回了 WP。
现在用自己开发的博客( django 框架)……既能装逼,又有官方维护底层框架,岂不美哉? hiahia~ |
45
Noisky 2017-10-27 12:45:08 +08:00
一直用的 typecho,不过既然出了漏洞,就把 install.php 改成输出一句话吧 = =
|
46
ctsed 2017-10-27 13:03:07 +08:00 via Android
这段代码只要你设置了正确的 referer,然后加上一个 finish 参数就可以进入到这个分支中,他会直接反序列化 cookie 中传入的一个值,然后进行一些 db 初始化操作,但是这个初始化操作实际上没有任何一丁点作用,所以这里有这段代码本身就非常奇怪
|
47
zgk 2017-10-27 13:08:31 +08:00 1
|
49
zgk 2017-10-27 13:43:06 +08:00
|
51
echopan 2017-10-27 13:52:28 +08:00
我记得我貌似没删除 install.php
|
52
arcytan 2017-10-27 14:29:16 +08:00
|
53
VicYu 2017-10-27 14:38:09 +08:00
歪个楼,看第二篇文章,看到说“鸡儿用没有”的措辞后,仔细看了看这不是阿里云牌子的公众号吗,如此措辞,不太好吧?
|
54
wsy2220 2017-10-27 15:11:50 +08:00
还是自己写的放心...
|
55
CreSim 2017-10-27 17:23:46 +08:00
@lichifeng #48 感谢,GRAV 真的好棒,感觉又打开了一个新的大门,我已经决定认真研究这个 cms 然后把主站搬过去了!
|
56
lichifeng 2017-10-27 19:18:03 +08:00 via Android
@CreSim 我很喜欢这个,很 GEEK,但是它一直没在流行起来不知道为什么。大概中文资料太少了
|
58
claysec 2017-10-27 21:01:09 +08:00
```php
<?php die("404 Not found");?> ``` |
59
Athrob 2017-10-28 04:32:55 +08:00
强迫症也是有好处的, 安装完第一时间就把 install.php 删掉了.
|
60
Trumeet 2017-10-28 11:21:31 +08:00 via Android
在用 Hexo (逃跑
|
61
lestat 2017-10-29 09:57:20 +08:00 via iPhone
觉得 typecho 不好看,用 hexo 的路过
|