m*****n
发帖数: 3575 | 1 这是nginx记录的一个扫描管理页的攻击行径:
151.106.52.70 - - [15/Jul/2021:23:36:11 -0400] "GET ///html/admin/config.php
HTTP/1.1" 404 4870 "-" "python-requests/2.25.1" "-"
151.106.52.70 - - [15/Jul/2021:23:36:13 -0400] "GET ///fpbx/admin/config.php
HTTP/1.1" 404 4870 "-" "python-requests/2.25.1" "-"
151.106.52.70 - - [15/Jul/2021:23:36:13 -0400] "GET ///www/admin/config.php
HTTP/1.1" 404 4870 "-" "python-requests/2.25.1" "-"
151.106.52.70 - - [15/Jul/2021:23:36:14 -0400] "GET ///asterisk/admin/config
.php HTTP/1.1" 404 4870 "-" "python-requests/2.25.1" "-"
151.106.52.70 - - [15/Jul/2021:23:36:14 -0400] "GET ///myasterisk/admin/
config.php HTTP/1.1" 404 4870 "-" "python-requests/2.25.1" "-"
151.106.52.70 - - [15/Jul/2021:23:36:15 -0400] "GET ///pbx/admin/config.php
HTTP/1.1" 404 4870 "-" "python-requests/2.25.1" "-"
以第一行为例,相当于在浏览器的什么.com或者什么.net后门直接加上这几个字:"/
html/admin/config.php"然后按回车。如果网站用的这个开源库的管理页就在这里,直
接就到管理页面上了。
之所以能这么做,就是因为网页和管理页在同一端口伺服,区别只是管理页在特殊路径
。首先要找到管理页,剩下的只需要填管理员用户名和猜密码了。
一个简单办法是另起一个线程,让管理页伺服另一个端口上,这样在防火墙层面就可以
拒绝公众访问到这个端口,从而杜绝黑客从外部到管理页猜密码。防火墙是比较敬业的
,奈何不了应用库不配套它的安全规则。
就这么一个简单的事情,所有的互联网库都不做,都堂而皇之的把管理页暴露给公众。
多可笑的一个生态! 多可笑的码工!类似的事情多了去了。 |
n******t
发帖数: 4406 | 2 第一 opensource的東西不能指望別人spoon feed你。
第二 如果你做過open source的東西,你就知道這事情沒法搞。不收錢的好人比收錢的
壞人還難做。
php
php
php
config
【在 m*****n 的大作中提到】
: 这是nginx记录的一个扫描管理页的攻击行径:
: 151.106.52.70 - - [15/Jul/2021:23:36:11 -0400] "GET ///html/admin/config.php
: HTTP/1.1" 404 4870 "-" "python-requests/2.25.1" "-"
: 151.106.52.70 - - [15/Jul/2021:23:36:13 -0400] "GET ///fpbx/admin/config.php
: HTTP/1.1" 404 4870 "-" "python-requests/2.25.1" "-"
: 151.106.52.70 - - [15/Jul/2021:23:36:13 -0400] "GET ///www/admin/config.php
: HTTP/1.1" 404 4870 "-" "python-requests/2.25.1" "-"
: 151.106.52.70 - - [15/Jul/2021:23:36:14 -0400] "GET ///asterisk/admin/config
: .php HTTP/1.1" 404 4870 "-" "python-requests/2.25.1" "-"
: 151.106.52.70 - - [15/Jul/2021:23:36:14 -0400] "GET ///myasterisk/admin/
|
g****t
发帖数: 31659 | 3 一分价钱一分货。就这么回事。安全要求高,得出钱。
: 第一 opensource的東西不能指望別人spoon feed你。
: 第二 如果你做過open source的東西,你就知道這事情沒法搞。不收錢的好人比
收錢的
: 壞人還難做。
: php
: php
: php
: config
【在 n******t 的大作中提到】
: 第一 opensource的東西不能指望別人spoon feed你。
: 第二 如果你做過open source的東西,你就知道這事情沒法搞。不收錢的好人比收錢的
: 壞人還難做。
:
: php
: php
: php
: config
|
m*****n
发帖数: 3575 | 4 所以你变相承认了所谓开源是东西做不好,卖不出去只好白送了?
【在 n******t 的大作中提到】
: 第一 opensource的東西不能指望別人spoon feed你。
: 第二 如果你做過open source的東西,你就知道這事情沒法搞。不收錢的好人比收錢的
: 壞人還難做。
:
: php
: php
: php
: config
|
n******t
发帖数: 4406 | 5 開源的目的是交流,和名氣。你根本不是別人的customer,你在叫什麼呢?
此外,如果讓你爽的配置,可能會讓別人爆,這世界不是圍繞你一個人轉的。
【在 m*****n 的大作中提到】
: 所以你变相承认了所谓开源是东西做不好,卖不出去只好白送了?
|
m*****n
发帖数: 3575 | 6 你们台湾佬都是这么迷之自信吗?
我说的问题还不够严重么?
你告诉我哪个网管喜欢天天被黑客猜密码?
哪个公司喜欢被黑客轻松入侵?
明明是脑子缺根弦,却说成是市场需要,真是大言不惭。
【在 n******t 的大作中提到】
: 開源的目的是交流,和名氣。你根本不是別人的customer,你在叫什麼呢?
: 此外,如果讓你爽的配置,可能會讓別人爆,這世界不是圍繞你一個人轉的。
|
n******t
发帖数: 4406 | 7 你能告訴我如果你是這個開源項目的maintainer你打算怎麼解決這個問題嗎?
【在 m*****n 的大作中提到】
: 你们台湾佬都是这么迷之自信吗?
: 我说的问题还不够严重么?
: 你告诉我哪个网管喜欢天天被黑客猜密码?
: 哪个公司喜欢被黑客轻松入侵?
: 明明是脑子缺根弦,却说成是市场需要,真是大言不惭。
|
m*****n
发帖数: 3575 | 8 “一个简单办法是另起一个线程,让管理页伺服另一个端口上,这样在防火墙层面就可
以拒绝公众访问到这个端口,从而杜绝黑客从外部到管理页猜密码。”
——原来连我的主贴都没读完。
【在 n******t 的大作中提到】
: 你能告訴我如果你是這個開源項目的maintainer你打算怎麼解決這個問題嗎?
|
n******t
发帖数: 4406 | 9 所以你根本就沒maintain過open source的項目。
你這種搞法,會被自己在前面做reverse proxy的人罵的(which這種東西實際部署裏面
大部分是這種情況)。當然我估計你根本就不care這些,就像裝上就就能按自己的方式
用的。還是那句話,這世界不是圍着你一個人轉的。
【在 m*****n 的大作中提到】
: “一个简单办法是另起一个线程,让管理页伺服另一个端口上,这样在防火墙层面就可
: 以拒绝公众访问到这个端口,从而杜绝黑客从外部到管理页猜密码。”
: ——原来连我的主贴都没读完。
|
m*****n
发帖数: 3575 | 10 为什么骂啊?
管理界面那块本来就是不开放给外网的。
你还真别说,我最擅长部署了。
ssh端口转发去管理页面,是我每天的工作。
面大部分是這種情況)。當然我估計你根本就不care這些,就像裝上就就能按自己的方
式用的。還是那句話,這世界不是圍着你一個人轉的。
【在 n******t 的大作中提到】
: 所以你根本就沒maintain過open source的項目。
: 你這種搞法,會被自己在前面做reverse proxy的人罵的(which這種東西實際部署裏面
: 大部分是這種情況)。當然我估計你根本就不care這些,就像裝上就就能按自己的方式
: 用的。還是那句話,這世界不是圍着你一個人轉的。
|
n******t
发帖数: 4406 | 11 大點的團隊沒幾個人是ssh轉發去管理頁面的。很多人根本沒有ssh權限。
還是一句話,不要覺得你自己那套setup代表全世界。你要不爽,給錢讓別人給你搞,
價格合理分分鍾的是。不給錢還要別人當你是大爺,肯定是沒人理你的。
【在 m*****n 的大作中提到】
: 为什么骂啊?
: 管理界面那块本来就是不开放给外网的。
: 你还真别说,我最擅长部署了。
: ssh端口转发去管理页面,是我每天的工作。
:
: 面大部分是這種情況)。當然我估計你根本就不care這些,就像裝上就就能按自己的方
: 式用的。還是那句話,這世界不是圍着你一個人轉的。
|
m*****n
发帖数: 3575 | 12 傻逼一个。
基本的安全规范都不懂,别丢人现眼了。
还reverse proxy,不就是nginx,加个端口upstream能把你累死?
还有管理页面本来就不是谁都能上的,只让个别入口可以看,这时候就用端口做区分。
不用端口做区分来访者,就没法区分。
【在 n******t 的大作中提到】
: 大點的團隊沒幾個人是ssh轉發去管理頁面的。很多人根本沒有ssh權限。
: 還是一句話,不要覺得你自己那套setup代表全世界。你要不爽,給錢讓別人給你搞,
: 價格合理分分鍾的是。不給錢還要別人當你是大爺,肯定是沒人理你的。
|
n******t
发帖数: 4406 | 13 哈哈,這句話都快把你自己抽暈了。對啊,不就是裝個nginx嗎?但是你這個小白不會
啊!!要不上來哭著說別人沒給你裝好幹啥?叫化子還嫌飯菜味道不好,有這個脾氣別
當叫化子啊,一個字,賤。
~~~
【在 m*****n 的大作中提到】
: 傻逼一个。
: 基本的安全规范都不懂,别丢人现眼了。
: 还reverse proxy,不就是nginx,加个端口upstream能把你累死?
: 还有管理页面本来就不是谁都能上的,只让个别入口可以看,这时候就用端口做区分。
: 不用端口做区分来访者,就没法区分。
|
h**********c
发帖数: 4120 | |
m*****n
发帖数: 3575 | 15 纯傻逼一个。你就懂点nginx,连防火墙是怎么设的都不知道,更别提跳板机。
别丢人现眼了,滚回你那个免费(开源)的网页框架去吧!
會啊!!要不上來哭著說別人沒給你裝好幹啥?叫化子還嫌飯菜味道不好,有這個脾氣
別當叫化子啊,一個字,賤。
【在 n******t 的大作中提到】
: 哈哈,這句話都快把你自己抽暈了。對啊,不就是裝個nginx嗎?但是你這個小白不會
: 啊!!要不上來哭著說別人沒給你裝好幹啥?叫化子還嫌飯菜味道不好,有這個脾氣別
: 當叫化子啊,一個字,賤。
:
: ~~~
|
