wdcp的安全漏洞
如果一台服务器root权限被人拿了,这台服务器就不安全了。
当我们安装完成wdlinux。cn 提供的vps/服务器管理软件之后,访问该ip就会给我们提供默认的账号和密码,如下图
账号和密码就写在这个页面。
好我们进一步操作。
成功进入后台。
虽然有提示默认密码,需要修改,但是万一你给忘了……
之前的版本还有MYSQL 的root密码为空,升级版本之后好像处理掉了这个问题,或者我还没有启用数据库的原因,
wdcp提供了一个非常贴心的ssh登录管理,问题就出在这里了,你可以下载私钥,然后掌管了服务器的root权限。
我拿到了服务器的root 权限,基本上想做啥就做啥了。需要挂马就挂马,需要挂链接就挂链接。
上图,真的是不小心碰巧撞到了某公司没有及时改页面,我拿到了root权限。可惜,食之无味,弃之可惜。想使用但是不想让那边管理员知道,这样用起来又比较麻烦。2019.01.21拿到的root权限,到现在还没有发现,当然我没有做任何大动作。
安全建议:
1、如果使用的是wdcp这款软件,软件安装前请不要将任何域名解析到服务器ip。
2、安装完成之后,第一时间将默认目录的默认index.html文件替换或者删除,其他文件替换或者隐藏。
3、安装完成立即更改wdcp账号和密码,如有需要,MYSQL的root密码也改一下。
4、如果上面前两个错误你都犯了,那么你这台服务器就可能暴露在互联网上了,root权限可能被人拿走了,请知悉。
对wdcp的建议:
1、默认ip的默认目录不要放后台入口、账号和密码,虽然对新手友好,但是对生成服务器却是一个不小的风险。
2、后台入口建议参考宝塔,随机链接入口,非此入口无法登陆。
3、账号密码不要固定,参考宝塔随机生成,减少撞库。撞默认账号密码。
4、ssh管理请添加私钥下载次数和私钥概述列表,方便查看ssh状况。
版权声明:
作者:xinyu2ru
链接:https://www.rxx0.com/motion/wdcp-di-an-quan-lou-dong.html
来源:RUBLOG-分享我的生活
文章版权归作者所有,未经允许请勿转载。
THE END
二维码
共有 0 条评论