人们怎么可能将文件上传到他们没有凭证的网站?

人们怎么可能将文件上传到他们没有凭证的网站?

不久前我收到了这封电子邮件:

hi there,
i am [name], security expert.

your website is not secured. you use a weak password. and you didnt install security to     prevent hacking/malware attacks.
as proof, i upload a file: http://[site]/1337[name].html
dont worry. i didnt edit/change/delete anything of your wesbite. feel free to contact with me to fix security issue. 

cheers
[name]

我检查了一下,文件确实存在,内容如下:

hi, i upload this file to proof that your website is not secure. please check your email. 
cheers

这充斥着诈骗和网络钓鱼(尤其是糟糕的英语),但我很害怕这个我没有创建的文件出现在我的服务器上。

作为参考,我使用的是启用了 SSH 的 GoDaddy 共享托管服务器,并运行了一个 Wordpress 网站,其中包含一堆子目录,其中包含我曾参与过的各种网站个人项目,其中一些使用 PHP 进行数据库(和旧的 Facebook SDK)连接。该文件似乎是由我的 FTP 用户创建的。

这个人怎么可能把文件放到我的网站上?我该如何修补这个安全漏洞?我已经更改了我的 (S)FTP 密码。

答案1

有人可以在没有您的密码的情况下更改您服务器上的文件。此类注入攻击非常常见。

确保您的 Wordpress 和 PHP 安装是最新的。您的插件或主题也可能存在漏洞。请确保它们也是最新的,并确保禁用您不需要的任何插件/主题。

相关内容