全球主机交流论坛

标题: 急，压缩包泄漏，你们会不会下载？ [打印本页]

作者: cache 时间: 2018-7-8 10:28
标题: 急，压缩包泄漏，你们会不会下载？
前几天维护网站，一不小心，搞错了目录，导致访问域名的时候直接把目录列出来了。网站一天有几百的IP。

重要的是，目录中只有一个文件夹和一个以域名命名的.tar.gz的压缩包，这个包有109M，里面有网站的WEB数据和数据库信息，重要的是有几个核心代码非常重要。

这种情况持续了15天。。。

日志一直是关闭的，所以没法查。

现在我就想着，这15天来的人都是平常的网民，偶然下载了也看不懂，直接删除了。

心里现在很不是滋味，怎么能犯这种低级错误！

作者: 阿里嘎多 时间: 2018-7-8 10:30
一般下载的。。都是批量扫的。。修改下重要密码比较好

作者: treesky 时间: 2018-7-8 10:31
投了个会下，让楼主刺激下

作者: cyo 时间: 2018-7-8 10:33
提示: 作者被禁止或删除内容自动屏蔽

作者: hitsword 时间: 2018-7-8 10:43
就算没列出目录。天天都有人扫。

作者: jeaslau 时间: 2018-7-8 10:44
你现在也只能自我安慰一下

作者: 忘江湖 时间: 2018-7-8 10:47

hitsword 发表于 2018-7-8 10:43
就算没列出目录。天天都有人扫。

这位兄台观点是对的。就算你没列出目录，大量的自动程序会不停的工作，扫描域名+zip,rar,.tar.gz,等等各种常用的网站包，一有存在的，自动直接下载。轻则只是要你的包，拿去论坛整站包卖钱而已。重则用包里面的信息，入侵你网站挂黑链。
所以问题不在于你列不列目录，而在于不能把那种包放在网站目录下，这是常识

作者: 总是吵架的猪 时间: 2018-7-8 10:58
绝对被人下载了而且有很多人下载因为每天都有人用工具自动扫描下载包就是专门扫描下载你这种网站，

作者: tony601818 时间: 2018-7-8 10:59
基本上都是被下载了

作者: junhan 时间: 2018-7-8 11:10
你这个99%都被别人下载了，

作者: microlz 时间: 2018-7-8 11:12
赶紧删库跑路吧233

作者: boxove 时间: 2018-7-8 11:20
基本上都是会下载

作者: Dink 时间: 2018-7-8 11:23
提示: 作者被禁止或删除内容自动屏蔽

作者: 尼欧一方通行 时间: 2018-7-8 11:32
数据库都打包了，禁ping能防止一定程度的扫描，但你这是自己……

作者: vagaa 时间: 2018-7-8 11:44
我以前也扫过啊。

作者: nextfriend 时间: 2018-7-8 12:12
赶紧先通知用户修改密码吧。还要小心被别人撞库

作者: 难人 时间: 2018-7-8 12:33

cyo 发表于 2018-7-8 10:33
你别在这儿问...这儿都是mjj，哪有“平常的网民”

太同意·了· 我也想说这句话的

作者: lwsg1987 时间: 2018-7-8 12:54
15天？楼主666

作者: nosec 时间: 2018-7-8 13:17
肯定是泄露了楼主想办法补救

作者: 一身惆怅 时间: 2018-7-8 13:31
还不赶紧补救？
侥幸心理没好果汁吃

作者: Tran 时间: 2018-7-8 13:41
不是列目录的问题，是你的网站早就被人扫了，我看自己的网站日志就有人请求网站名+tar.gz 这种，这是全网批量扫的

作者: xsmx 时间: 2018-7-8 15:55
你来这论坛问，你觉得能不被下载么。。。人手一个Linux，你打包成大熊猫都得被扒了

作者: 002 时间: 2018-7-8 17:08
为什么要放在站点根目录下面 ?
不知道放在上级目录 ?不能正常浏览的位置 ?

作者: Winsonkill 时间: 2018-7-8 17:15

作者: Front 时间: 2018-7-8 17:31

Dink 发表于 2018-7-8 11:23
刚才研究了一下扫到的包，发现里面确实有点干货

老哥，求扫包工具

作者: hostlocooo 时间: 2018-7-8 17:51
会下懂点代码的会看核心代码

作者: 雷电法王杨永信 时间: 2018-7-8 18:31
还不赶紧删库跑路？

作者: 点击注销 时间: 2018-7-8 18:32
就算不懂总会有人存着哪天有兴趣就研究研究吧吧

作者: oldchen 时间: 2018-7-8 22:21
有源码干嘛不下

作者: grassroot 时间: 2018-7-8 23:11
99%会下，推荐还是全改了吧，在查查有没有被挂马

作者: tims 时间: 2018-7-8 23:51
loc的MJJ，你说会不会下？

作者: 方块李 时间: 2018-7-9 08:35
你们也是心大，备份打包难道不放其它目录？还放网站目录下。。。打包难道不设个密码。。。。

作者: junhan 时间: 2018-7-9 09:48

方块李发表于 2018-7-9 08:35
你们也是心大，备份打包难道不放其它目录？还放网站目录下。。。打包难道不设个密码。。。。 ...

打包的还真没有设置密码，
我一般放这里面的
home/wwwroot/www.xxx.com 网站目录
home/备份目录/

作者: imyoy 时间: 2018-7-9 10:23
要是我碰上这事，肯定会下载

作者: 小号 时间: 2018-7-9 10:53
web服务器配置的时候，默认就应该关闭.gz后缀的访问，这样即使列出目录，也访问不到资源。

作者: hxuf 时间: 2018-7-9 11:32
速速改密码咯

作者: flyqie 时间: 2018-7-9 12:59
我觉得删除的人不多，多半都是留着以后研究.
也有一部分可能直接把包交给朋友了,问题大了去了.
数据泄露没跑了，赶快想办法补救吧，不知道啥时候包就被人放出去了

作者: 绝恋之夏 时间: 2018-7-16 16:31
肯定下载啊下载了看看看再说

作者: cfan 时间: 2018-7-21 12:18
会

作者: ccxiaoshi 时间: 2018-10-8 11:17
地址给我看看

作者: cigar2010 时间: 2018-10-12 23:28
哎呀呀，

作者: 浪荡子 时间: 2018-10-21 16:25
如果是我我就下载放到虚拟机里先扫为敬

欢迎光临全球主机交流论坛 (https://loc.1226.eu.org/)