Rank: 2

1^# 跳轉(zhuǎn)到 » 正序看帖

字體大小: tT

發(fā)表于 2018-7-15 19:30 | 只看該作者

提問三步曲: 提問先看教程/FAQ索引(wdcp,wdcp_v3,一鍵包)及搜索,會(huì)讓你更快解決問題
1 提供詳細(xì)，如系統(tǒng)版本,wdcp版本,軟件版本等及錯(cuò)誤的詳細(xì)信息,貼上論壇或截圖發(fā)論壇
2 做過哪些操作或改動(dòng)設(shè)置等

溫馨提示：信息不詳,很可能會(huì)沒人理你！論壇有教程說明的，也可能沒人理！因?yàn)?你懂的

[BUG反饋] WDCP 重大漏洞密碼為明文直接用PHP能讀取到密碼默認(rèn)直接跨站

最近,我的VPS上安置了幾個(gè)網(wǎng)站用戶,不知道是用戶搞鬼還是網(wǎng)站織夢(mèng)程序本身漏洞,導(dǎo)致被上傳文件管理器,而且整個(gè)就跨站了,所有的網(wǎng)站都有木馬程序,整個(gè)被人操控,我試了,無論在哪個(gè)空間搞一個(gè)file_get_contents(WDCP密碼路徑)這里不再細(xì)說了,你懂得,然后就讀取到WDCP密碼其他一些密碼端口配置等等都是可以直接讀取所以說這些寫重大隱患,搞個(gè)MD5也好吧其他網(wǎng)站的文件更是隨意讀取修改這就是跨站最近被黑的太慘感謝WDCP 給我?guī)矸奖愕耐瑫r(shí) 也帶來麻煩謝謝

AI導(dǎo)航網(wǎng)，AI網(wǎng)站大全，AI工具大全，AI軟件大全，AI工具集合，AI編程，AI繪畫，AI寫作，AI視頻生成，AI對(duì)話聊天等，盡在aiaiV.cn

p270228163

注冊(cè)會(huì)員

Rank: 2

19^#

發(fā)表于 2018-12-10 09:29 | 只看該作者

/www/wdlinux/wdcp/conf/phpmyadmin.conf phpmyadmin 的后臺(tái)路徑
/www/wdlinux/wdcp/conf/port.conf phpmyadmin 的后臺(tái)端口
/www/wdlinux/wdcp/conf/mrpw.conf 后臺(tái)密碼

納尼

TOP

p270228163

注冊(cè)會(huì)員

Rank: 2

18^#

發(fā)表于 2018-12-10 09:27 | 只看該作者

回復(fù) 2# admin

/www/wdlinux/wdcp/conf/phpmyadmin.conf這里還有 phpmyadmin 的后臺(tái)路徑

納尼

TOP

admin

管理員

Rank: 9 Rank: 9 Rank: 9

17^#

發(fā)表于 2018-11-26 12:13 | 只看該作者

明文的確實(shí)不安全
lqingdong 發(fā)表于 2018-11-23 10:21

明文存儲(chǔ)確實(shí)存在一定的隱患，新版本里，已經(jīng)做調(diào)整，不再是明文存儲(chǔ)
之前用明文存儲(chǔ)，也確實(shí)是考慮得不夠周全

看清提問三步曲及多看教程/FAQ索引(wdcp,v3,一鍵包,wdOS),益處多多.wdcp工具集阿里云主機(jī)8折優(yōu)惠碼

AI導(dǎo)航網(wǎng)，AI網(wǎng)站大全，AI工具大全，AI軟件大全，AI工具集合，AI編程，AI繪畫，AI寫作，AI視頻生成，AI對(duì)話聊天等，盡在aiaiV.cn

TOP

admin

管理員

Rank: 9 Rank: 9 Rank: 9

16^#

發(fā)表于 2018-11-26 12:12 | 只看該作者

如果要進(jìn)行實(shí)際運(yùn)營(yíng) 還是要從APCHE 和 PHP 設(shè)置等等基礎(chǔ)的安全上學(xué) 好好的優(yōu)化否則等于裸奔哦我就是上 ...
jsudi 發(fā)表于 2018-7-18 19:03

其實(shí)也沒這么復(fù)雜，一般的入侵或掛馬，要么是密碼太簡(jiǎn)單或不修改，要么是程序有漏洞apache，php就算是默認(rèn)的安全或配置，也不是一般人入侵得了

如果程序有漏洞不升級(jí)不修補(bǔ)，再apache,php如何配置安全，一樣有機(jī)會(huì)上傳

看清提問三步曲及多看教程/FAQ索引(wdcp,v3,一鍵包,wdOS),益處多多.wdcp工具集阿里云主機(jī)8折優(yōu)惠碼

TOP

KK5756376

新手上路

Rank: 1

15^#

發(fā)表于 2018-11-24 16:01 | 只看該作者

怎樣才能找回wdcp密碼

TOP

lqingdong

新手上路

Rank: 1

14^#

發(fā)表于 2018-11-23 10:21 | 只看該作者

明文的確實(shí)不安全

上下求索

TOP

b15365637

注冊(cè)會(huì)員

Rank: 2

13^#

發(fā)表于 2018-9-11 22:50 | 只看該作者

回復(fù) 12# Miker

my明文也不怎么安全吧？

付費(fèi)解決 QQ15365637

AI導(dǎo)航網(wǎng)，AI網(wǎng)站大全，AI工具大全，AI軟件大全，AI工具集合，AI編程，AI繪畫，AI寫作，AI視頻生成，AI對(duì)話聊天等，盡在aiaiV.cn

TOP

Miker

版主

Rank: 7 Rank: 7 Rank: 7

12^#

發(fā)表于 2018-7-31 23:28 | 只看該作者

回復(fù) 11# jsudi

使用面板過程中，基本安全常識(shí)還是要了解一下的，比如root密碼wd登錄密碼等，千萬別一樣，還有弱口令，在不需要ssh的情況下，可以關(guān)閉ssh，ping也可以關(guān)閉掉的！

這個(gè)人很勤快~暫時(shí)沒有個(gè)性簽名

TOP

jsudi

注冊(cè)會(huì)員

Rank: 2

11^#

發(fā)表于 2018-7-18 19:03 | 只看該作者

如果要進(jìn)行實(shí)際運(yùn)營(yíng) 還是要從APCHE 和 PHP 設(shè)置等等基礎(chǔ)的安全上學(xué) 好好的優(yōu)化否則等于裸奔哦我就是上當(dāng)了被黑的很慘一個(gè)站被下木馬整個(gè)服務(wù)器遭殃了還是自己太過于信任WDCP 還是從基礎(chǔ)安全學(xué)習(xí) 考量吧

TOP

jsudi

注冊(cè)會(huì)員

Rank: 2

10^#

發(fā)表于 2018-7-18 19:01 | 只看該作者

回復(fù) 8# admin

不好意思群主,仔細(xì)看了應(yīng)該是 SQL 密碼 ,還是建議大家把各種密碼設(shè)置不同吧我就是設(shè)置一樣的惹的禍

TOP

jsudi

注冊(cè)會(huì)員

Rank: 2

9^#

發(fā)表于 2018-7-18 18:36 | 只看該作者

回復(fù) 8# admin

老鐵,絕對(duì)是 WDCP 的登錄密碼這個(gè) 不用質(zhì)疑的您老人家還是先核實(shí)吧

TOP

admin

管理員

Rank: 9 Rank: 9 Rank: 9

8^#

發(fā)表于 2018-7-18 12:28 | 只看該作者

這個(gè)是mysql的密碼，并不是wdcp的登錄密碼
為了小工具的方便用，確實(shí)是明文存儲(chǔ)。不過一般用戶是讀取不到的
這個(gè)文件的默認(rèn)權(quán)限，應(yīng)該是600，其它的用戶也讀不到的
可以檢查或重新設(shè)置一下
chmod 600 /www/wdlinux/wdcp/conf/mrpw.conf

看清提問三步曲及多看教程/FAQ索引(wdcp,v3,一鍵包,wdOS),益處多多.wdcp工具集阿里云主機(jī)8折優(yōu)惠碼

TOP

cqjian