看帖神器
未名空间
追帖动态
头条新闻
每日新帖
最新热帖
新闻存档
热帖存档
文学城
虎扑论坛
未名空间
北美华人网
北美微论坛
看帖神器
登录
← 下载
《看帖神器》官方
iOS App
,体验轻松追帖。
绝大多数互联网库缺乏油纸包精神,为黑客提供后门
查看未名空间今日新帖
最新回复:2021年7月20日 3点11分 PT
共 (15) 楼
返回列表
订阅追帖
只看未读
更多选项
阅读全帖
只看图片
只看视频
查看原帖
m
minquan
大约 3 年
楼主 (未名空间)
这是nginx记录的一个扫描管理页的攻击行径:
151.106.52.70 - - [15/Jul/2021:23:36:11 -0400] "GET ///html/admin/config.php HTTP/1.1" 404 4870 "-" "python-requests/2.25.1" "-"
151.106.52.70 - - [15/Jul/2021:23:36:13 -0400] "GET ///fpbx/admin/config.php HTTP/1.1" 404 4870 "-" "python-requests/2.25.1" "-"
151.106.52.70 - - [15/Jul/2021:23:36:13 -0400] "GET ///www/admin/config.php HTTP/1.1" 404 4870 "-" "python-requests/2.25.1" "-"
151.106.52.70 - - [15/Jul/2021:23:36:14 -0400] "GET ///asterisk/admin/config.php HTTP/1.1" 404 4870 "-" "python-requests/2.25.1" "-"
151.106.52.70 - - [15/Jul/2021:23:36:14 -0400] "GET ///myasterisk/admin/
config.php HTTP/1.1" 404 4870 "-" "python-requests/2.25.1" "-"
151.106.52.70 - - [15/Jul/2021:23:36:15 -0400] "GET ///pbx/admin/config.php HTTP/1.1" 404 4870 "-" "python-requests/2.25.1" "-"
以第一行为例,相当于在浏览器的什么.com或者什么.net之后直接加上这几个字:"/
html/admin/config.php"然后按回车。如果网站用的这个开源库的管理页就在这里,直接就到管理页面上了。
之所以能这么做,就是因为网页和管理页在同一端口伺服,区别只是管理页在特殊路径。首先要找到管理页,剩下的只需要填管理员用户名和猜密码了。
一个简单办法是另起一个线程,让管理页伺服另一个端口上,这样在防火墙层面就可以拒绝公众访问到这个端口,从而杜绝黑客从外部到管理页猜密码。防火墙是比较敬业的,奈何不了应用库不配套它的安全规则。
就这么一个简单的事情,所有的互联网库都不做,都堂而皇之的把管理页暴露给公众。多可笑的一个生态! 多可笑的码工!类似的事情多了去了。
n
netghost
大约 3 年
2 楼
第一 opensource的東西不能指望別人spoon feed你。
第二 如果你做過open source的東西,你就知道這事情沒法搞。不收錢的好人比收錢的壞人還難做。
【 在 minquan (三民主义) 的大作中提到: 】
: 这是nginx记录的一个扫描管理页的攻击行径:
: 151.106.52.70 - - [15/Jul/2021:23:36:11 -0400] "GET ///html/admin/config.
php
: HTTP/1.1" 404 4870 "-" "python-requests/2.25.1" "-"
: 151.106.52.70 - - [15/Jul/2021:23:36:13 -0400] "GET ///fpbx/admin/config.
php
: HTTP/1.1" 404 4870 "-" "python-requests/2.25.1" "-"
: 151.106.52.70 - - [15/Jul/2021:23:36:13 -0400] "GET ///www/admin/config.
php
: HTTP/1.1" 404 4870 "-" "python-requests/2.25.1" "-"
: 151.106.52.70 - - [15/Jul/2021:23:36:14 -0400] "GET ///asterisk/admin/
config
: .php HTTP/1.1" 404 4870 "-" "python-requests/2.25.1" "-"
: 151.106.52.70 - - [15/Jul/2021:23:36:14 -0400] "GET ///myasterisk/admin/
: ...................
g
guvest
大约 3 年
3 楼
一分价钱一分货。就这么回事。安全要求高,得出钱。
【 在 netghost(Up to Isomorphism) 的大作中提到: 】
: 第一 opensource的東西不能指望別人spoon feed你。
: 第二 如果你做過open source的東西,你就知道這事情沒法搞。不收錢的好人比收錢的
: 壞人還難做。
: php
: php
: php
: config
m
minquan
大约 3 年
4 楼
所以你变相承认了所谓开源是东西做不好,卖不出去只好白送了?
【 在 netghost (Up to Isomorphism) 的大作中提到: 】
: 第一 opensource的東西不能指望別人spoon feed你。
: 第二 如果你做過open source的東西,你就知道這事情沒法搞。不收錢的好人比收錢的
: 壞人還難做。
: php
: php
: php
: config
n
netghost
大约 3 年
5 楼
開源的目的是交流,和名氣。你根本不是別人的customer,你在叫什麼呢?
此外,如果讓你爽的配置,可能會讓別人爆,這世界不是圍繞你一個人轉的。
【 在 minquan (三民主义) 的大作中提到: 】
: 所以你变相承认了所谓开源是东西做不好,卖不出去只好白送了?
m
minquan
大约 3 年
6 楼
你们台湾佬都是这么迷之自信吗?
我说的问题还不够严重么?
你告诉我哪个网管喜欢天天被黑客猜密码?
哪个公司喜欢被黑客轻松入侵?
明明是脑子缺根弦,却说成是市场需要,真是大言不惭。
【 在 netghost (Up to Isomorphism) 的大作中提到: 】
: 開源的目的是交流,和名氣。你根本不是別人的customer,你在叫什麼呢?
: 此外,如果讓你爽的配置,可能會讓別人爆,這世界不是圍繞你一個人轉的。
n
netghost
大约 3 年
7 楼
你能告訴我如果你是這個開源項目的maintainer你打算怎麼解決這個問題嗎?
【 在 minquan (三民主义) 的大作中提到: 】
: 你们台湾佬都是这么迷之自信吗?
: 我说的问题还不够严重么?
: 你告诉我哪个网管喜欢天天被黑客猜密码?
: 哪个公司喜欢被黑客轻松入侵?
: 明明是脑子缺根弦,却说成是市场需要,真是大言不惭。
m
minquan
大约 3 年
8 楼
“一个简单办法是另起一个线程,让管理页伺服另一个端口上,这样在防火墙层面就可以拒绝公众访问到这个端口,从而杜绝黑客从外部到管理页猜密码。”
——原来连我的主贴都没读完。
【 在 netghost (Up to Isomorphism) 的大作中提到: 】
: 你能告訴我如果你是這個開源項目的maintainer你打算怎麼解決這個問題嗎?
n
netghost
大约 3 年
9 楼
所以你根本就沒maintain過open source的項目。
你這種搞法,會被自己在前面做reverse proxy的人罵的(which這種東西實際部署裏面大部分是這種情況)。當然我估計你根本就不care這些,就像裝上就就能按自己的方式用的。還是那句話,這世界不是圍着你一個人轉的。
【 在 minquan (三民主义) 的大作中提到: 】
: 标 题: Re: 绝大多数互联网库缺乏油纸包精神,为黑客提供后门
: 发信站: BBS 未名空间站 (Sun Jul 18 22:26:48 2021, 美东)
:
: “一个简单办法是另起一个线程,让管理页伺服另一个端口上,这样在防火墙层面就可
: 以拒绝公众访问到这个端口,从而杜绝黑客从外部到管理页猜密码。”
:
: ——原来连我的主贴都没读完。
:
: 【 在 netghost (Up to Isomorphism) 的大作中提到: 】
: : 你能告訴我如果你是這個開源項目的maintainer你打算怎麼解決這個問題嗎?
:
:
:
: --
m
minquan
大约 3 年
10 楼
为什么骂啊?
管理界面那块本来就是不开放给外网的。
你还真别说,我最擅长部署了。
ssh端口转发去管理页面,是我每天的工作。
【 在 netghost (Up to Isomorphism) 的大作中提到: 】
: 所以你根本就沒maintain過open source的項目。
: 你這種搞法,會被自己在前面做reverse proxy的人罵的(which這種東西實際部署裏面大部分是這種情況)。當然我估計你根本就不care這些,就像裝上就就能按自己的方式用的。還是那句話,這世界不是圍着你一個人轉的。
n
netghost
大约 3 年
11 楼
大點的團隊沒幾個人是ssh轉發去管理頁面的。很多人根本沒有ssh權限。
還是一句話,不要覺得你自己那套setup代表全世界。你要不爽,給錢讓別人給你搞,
價格合理分分鍾的是。不給錢還要別人當你是大爺,肯定是沒人理你的。
【 在 minquan (三民主义) 的大作中提到: 】
: 为什么骂啊?
: 管理界面那块本来就是不开放给外网的。
: 你还真别说,我最擅长部署了。
: ssh端口转发去管理页面,是我每天的工作。
: 面大部分是這種情況)。當然我估計你根本就不care這些,就像裝上就就能按自己的方
: 式用的。還是那句話,這世界不是圍着你一個人轉的。
m
minquan
大约 3 年
12 楼
傻逼一个。
基本的安全规范都不懂,别丢人现眼了。
还reverse proxy,不就是nginx,加个端口upstream能把你累死?
还有管理页面本来就不是谁都能上的,只让个别入口可以看,这时候就用端口做区分。不用端口做区分来访者,就没法区分。
【 在 netghost (Up to Isomorphism) 的大作中提到: 】
: 大點的團隊沒幾個人是ssh轉發去管理頁面的。很多人根本沒有ssh權限。
: 還是一句話,不要覺得你自己那套setup代表全世界。你要不爽,給錢讓別人給你搞,
: 價格合理分分鍾的是。不給錢還要別人當你是大爺,肯定是沒人理你的。
n
netghost
大约 3 年
13 楼
哈哈,這句話都快把你自己抽暈了。對啊,不就是裝個nginx嗎?但是你這個小白不會
啊!!要不上來哭著說別人沒給你裝好幹啥?叫化子還嫌飯菜味道不好,有這個脾氣別當叫化子啊,一個字,賤。
【 在 minquan (三民主义) 的大作中提到: 】
: 傻逼一个。
: 基本的安全规范都不懂,别丢人现眼了。
: 还reverse proxy,不就是nginx,加个端口upstream能把你累死?
~~~
: 还有管理页面本来就不是谁都能上的,只让个别入口可以看,这时候就用端口做区分。
: 不用端口做区分来访者,就没法区分。
h
heteroclinic
大约 3 年
14 楼
还是干的项目少,干过几个PCI相关就入门了
m
minquan
大约 3 年
15 楼
纯傻逼一个。你就懂点nginx,连防火墙是怎么设的都不知道,更别提跳板机。
别丢人现眼了,滚回你那个免费(开源)的网页框架去吧!
【 在 netghost (Up to Isomorphism) 的大作中提到: 】
: 哈哈,這句話都快把你自己抽暈了。對啊,不就是裝個nginx嗎?但是你這個小白不
會啊!!要不上來哭著說別人沒給你裝好幹啥?叫化子還嫌飯菜味道不好,有這個脾氣別當叫化子啊,一個字,賤。
: ~~~
请输入帖子链接
收藏帖子
这是nginx记录的一个扫描管理页的攻击行径:
151.106.52.70 - - [15/Jul/2021:23:36:11 -0400] "GET ///html/admin/config.php HTTP/1.1" 404 4870 "-" "python-requests/2.25.1" "-"
151.106.52.70 - - [15/Jul/2021:23:36:13 -0400] "GET ///fpbx/admin/config.php HTTP/1.1" 404 4870 "-" "python-requests/2.25.1" "-"
151.106.52.70 - - [15/Jul/2021:23:36:13 -0400] "GET ///www/admin/config.php HTTP/1.1" 404 4870 "-" "python-requests/2.25.1" "-"
151.106.52.70 - - [15/Jul/2021:23:36:14 -0400] "GET ///asterisk/admin/config.php HTTP/1.1" 404 4870 "-" "python-requests/2.25.1" "-"
151.106.52.70 - - [15/Jul/2021:23:36:14 -0400] "GET ///myasterisk/admin/
config.php HTTP/1.1" 404 4870 "-" "python-requests/2.25.1" "-"
151.106.52.70 - - [15/Jul/2021:23:36:15 -0400] "GET ///pbx/admin/config.php HTTP/1.1" 404 4870 "-" "python-requests/2.25.1" "-"
以第一行为例,相当于在浏览器的什么.com或者什么.net之后直接加上这几个字:"/
html/admin/config.php"然后按回车。如果网站用的这个开源库的管理页就在这里,直接就到管理页面上了。
之所以能这么做,就是因为网页和管理页在同一端口伺服,区别只是管理页在特殊路径。首先要找到管理页,剩下的只需要填管理员用户名和猜密码了。
一个简单办法是另起一个线程,让管理页伺服另一个端口上,这样在防火墙层面就可以拒绝公众访问到这个端口,从而杜绝黑客从外部到管理页猜密码。防火墙是比较敬业的,奈何不了应用库不配套它的安全规则。
就这么一个简单的事情,所有的互联网库都不做,都堂而皇之的把管理页暴露给公众。多可笑的一个生态! 多可笑的码工!类似的事情多了去了。
第一 opensource的東西不能指望別人spoon feed你。
第二 如果你做過open source的東西,你就知道這事情沒法搞。不收錢的好人比收錢的壞人還難做。
【 在 minquan (三民主义) 的大作中提到: 】
: 这是nginx记录的一个扫描管理页的攻击行径:
: 151.106.52.70 - - [15/Jul/2021:23:36:11 -0400] "GET ///html/admin/config.
php
: HTTP/1.1" 404 4870 "-" "python-requests/2.25.1" "-"
: 151.106.52.70 - - [15/Jul/2021:23:36:13 -0400] "GET ///fpbx/admin/config.
php
: HTTP/1.1" 404 4870 "-" "python-requests/2.25.1" "-"
: 151.106.52.70 - - [15/Jul/2021:23:36:13 -0400] "GET ///www/admin/config.
php
: HTTP/1.1" 404 4870 "-" "python-requests/2.25.1" "-"
: 151.106.52.70 - - [15/Jul/2021:23:36:14 -0400] "GET ///asterisk/admin/
config
: .php HTTP/1.1" 404 4870 "-" "python-requests/2.25.1" "-"
: 151.106.52.70 - - [15/Jul/2021:23:36:14 -0400] "GET ///myasterisk/admin/
: ...................
一分价钱一分货。就这么回事。安全要求高,得出钱。
【 在 netghost(Up to Isomorphism) 的大作中提到: 】
: 第一 opensource的東西不能指望別人spoon feed你。
: 第二 如果你做過open source的東西,你就知道這事情沒法搞。不收錢的好人比收錢的
: 壞人還難做。
: php
: php
: php
: config
所以你变相承认了所谓开源是东西做不好,卖不出去只好白送了?
【 在 netghost (Up to Isomorphism) 的大作中提到: 】
: 第一 opensource的東西不能指望別人spoon feed你。
: 第二 如果你做過open source的東西,你就知道這事情沒法搞。不收錢的好人比收錢的
: 壞人還難做。
: php
: php
: php
: config
開源的目的是交流,和名氣。你根本不是別人的customer,你在叫什麼呢?
此外,如果讓你爽的配置,可能會讓別人爆,這世界不是圍繞你一個人轉的。
【 在 minquan (三民主义) 的大作中提到: 】
: 所以你变相承认了所谓开源是东西做不好,卖不出去只好白送了?
你们台湾佬都是这么迷之自信吗?
我说的问题还不够严重么?
你告诉我哪个网管喜欢天天被黑客猜密码?
哪个公司喜欢被黑客轻松入侵?
明明是脑子缺根弦,却说成是市场需要,真是大言不惭。
【 在 netghost (Up to Isomorphism) 的大作中提到: 】
: 開源的目的是交流,和名氣。你根本不是別人的customer,你在叫什麼呢?
: 此外,如果讓你爽的配置,可能會讓別人爆,這世界不是圍繞你一個人轉的。
你能告訴我如果你是這個開源項目的maintainer你打算怎麼解決這個問題嗎?
【 在 minquan (三民主义) 的大作中提到: 】
: 你们台湾佬都是这么迷之自信吗?
: 我说的问题还不够严重么?
: 你告诉我哪个网管喜欢天天被黑客猜密码?
: 哪个公司喜欢被黑客轻松入侵?
: 明明是脑子缺根弦,却说成是市场需要,真是大言不惭。
“一个简单办法是另起一个线程,让管理页伺服另一个端口上,这样在防火墙层面就可以拒绝公众访问到这个端口,从而杜绝黑客从外部到管理页猜密码。”
——原来连我的主贴都没读完。
【 在 netghost (Up to Isomorphism) 的大作中提到: 】
: 你能告訴我如果你是這個開源項目的maintainer你打算怎麼解決這個問題嗎?
所以你根本就沒maintain過open source的項目。
你這種搞法,會被自己在前面做reverse proxy的人罵的(which這種東西實際部署裏面大部分是這種情況)。當然我估計你根本就不care這些,就像裝上就就能按自己的方式用的。還是那句話,這世界不是圍着你一個人轉的。
【 在 minquan (三民主义) 的大作中提到: 】
: 标 题: Re: 绝大多数互联网库缺乏油纸包精神,为黑客提供后门
: 发信站: BBS 未名空间站 (Sun Jul 18 22:26:48 2021, 美东)
:
: “一个简单办法是另起一个线程,让管理页伺服另一个端口上,这样在防火墙层面就可
: 以拒绝公众访问到这个端口,从而杜绝黑客从外部到管理页猜密码。”
:
: ——原来连我的主贴都没读完。
:
: 【 在 netghost (Up to Isomorphism) 的大作中提到: 】
: : 你能告訴我如果你是這個開源項目的maintainer你打算怎麼解決這個問題嗎?
:
:
:
: --
为什么骂啊?
管理界面那块本来就是不开放给外网的。
你还真别说,我最擅长部署了。
ssh端口转发去管理页面,是我每天的工作。
【 在 netghost (Up to Isomorphism) 的大作中提到: 】
: 所以你根本就沒maintain過open source的項目。
: 你這種搞法,會被自己在前面做reverse proxy的人罵的(which這種東西實際部署裏面大部分是這種情況)。當然我估計你根本就不care這些,就像裝上就就能按自己的方式用的。還是那句話,這世界不是圍着你一個人轉的。
大點的團隊沒幾個人是ssh轉發去管理頁面的。很多人根本沒有ssh權限。
還是一句話,不要覺得你自己那套setup代表全世界。你要不爽,給錢讓別人給你搞,
價格合理分分鍾的是。不給錢還要別人當你是大爺,肯定是沒人理你的。
【 在 minquan (三民主义) 的大作中提到: 】
: 为什么骂啊?
: 管理界面那块本来就是不开放给外网的。
: 你还真别说,我最擅长部署了。
: ssh端口转发去管理页面,是我每天的工作。
: 面大部分是這種情況)。當然我估計你根本就不care這些,就像裝上就就能按自己的方
: 式用的。還是那句話,這世界不是圍着你一個人轉的。
傻逼一个。
基本的安全规范都不懂,别丢人现眼了。
还reverse proxy,不就是nginx,加个端口upstream能把你累死?
还有管理页面本来就不是谁都能上的,只让个别入口可以看,这时候就用端口做区分。不用端口做区分来访者,就没法区分。
【 在 netghost (Up to Isomorphism) 的大作中提到: 】
: 大點的團隊沒幾個人是ssh轉發去管理頁面的。很多人根本沒有ssh權限。
: 還是一句話,不要覺得你自己那套setup代表全世界。你要不爽,給錢讓別人給你搞,
: 價格合理分分鍾的是。不給錢還要別人當你是大爺,肯定是沒人理你的。
哈哈,這句話都快把你自己抽暈了。對啊,不就是裝個nginx嗎?但是你這個小白不會
啊!!要不上來哭著說別人沒給你裝好幹啥?叫化子還嫌飯菜味道不好,有這個脾氣別當叫化子啊,一個字,賤。
【 在 minquan (三民主义) 的大作中提到: 】
: 傻逼一个。
: 基本的安全规范都不懂,别丢人现眼了。
: 还reverse proxy,不就是nginx,加个端口upstream能把你累死?
~~~
: 还有管理页面本来就不是谁都能上的,只让个别入口可以看,这时候就用端口做区分。
: 不用端口做区分来访者,就没法区分。
还是干的项目少,干过几个PCI相关就入门了
纯傻逼一个。你就懂点nginx,连防火墙是怎么设的都不知道,更别提跳板机。
别丢人现眼了,滚回你那个免费(开源)的网页框架去吧!
【 在 netghost (Up to Isomorphism) 的大作中提到: 】
: 哈哈,這句話都快把你自己抽暈了。對啊,不就是裝個nginx嗎?但是你這個小白不
會啊!!要不上來哭著說別人沒給你裝好幹啥?叫化子還嫌飯菜味道不好,有這個脾氣別當叫化子啊,一個字,賤。
: ~~~