这是一个创建于 3005 天前的主题,其中的信息可能已经有所发展或是发生改变。
在安全圈内比较火了,自己之前的博客也是用的这个框架。
相关链接: Install.php 代码分析 Typecho 事件始末 各位大佬自查一下?
第 1 条附言 · 2017 年 10 月 27 日
官方解释: https://joyqi.com/typecho/about-typecho-20171027.html
应该是误会了,不过漏洞确实存在,请各位按照官方说明进行修复。
应该是误会了,不过漏洞确实存在,请各位按照官方说明进行修复。
 |
1
Sanko 2017 年 10 月 27 日 via Android
方了
|
 |
2
xiqingongzi 2017 年 10 月 27 日
|
 |
3
RobertYang 2017 年 10 月 27 日 via Android
前排吃瓜,还好没有 typecho 的站
|
 |
6
iFlicker 2017 年 10 月 27 日 via Android
正在用。。。
|
 |
7
kn007 2017 年 10 月 27 日 via Android
唔,不用 typecho 的路过
|
 |
8
Kilerd 2017 年 10 月 27 日 via iPhone
正好找个借口换了 typecho
|
 |
9
arnofeng 2017 年 10 月 27 日
删了 install.php 就行了呗
|
 |
10
torbrowserbridge 2017 年 10 月 27 日
是此人吗,sf 创始人?
|
 |
11
blakejia 2017 年 10 月 27 日
正好找个借口换了 typecho + 1
|
 |
12
CreSim 2017 年 10 月 27 日 via Android
问一下你们换了 typecho 准备用什么呢,静态博客是真的不想用
|
 |
13
miyuki 2017 年 10 月 27 日 via Android
吃瓜
|
 |
14
trydgame 2017 年 10 月 27 日 via Android
吃瓜群众
|
 |
15
f2f2f 2017 年 10 月 27 日
国产 blog 系统真是挂的差不多了。还是老实用臃肿的 wp 吧
|
 |
16
lidasd 2017 年 10 月 27 日
吃瓜
|
 |
17
zrj766 2017 年 10 月 27 日 via Android
typecho 一直当做记事本,搞吧搞吧,我那个笔记本站搞了没任何价值,2333,反正本地 网盘都有备份
|
 |
18
FFLY 2017 年 10 月 27 日
还好很久之前就已经不用了
|
|
19
kn007 2017 年 10 月 27 日 via Android  1
@f2f2f 其实臃肿只是功能多,觉得用不上而已。wordpress 优化好,蛮快。( wordpress 有点像 Android,你需要折腾)
像我,感觉很多功能就能用得上,而且速度比 typecho 也没区别啊,相反我没觉得 typecho 快多少。 美国机: https://kn007.net |
 |
20
CEBBCAT 2017 年 10 月 27 日 via Android
每次梯子成批跪、安全大漏洞都有人说“还好 balabalabala ”
🤤 |
 |
21
xnotepad 2017 年 10 月 27 日
越来越懒,现在都改用静态博客系统了。发文章只要 `git push` 一下就行,方便。
|
 |
22
joyqi 2017 年 10 月 27 日 via iPhone 8
莫慌莫慌,几天前已经修复了,如果等不及正式版,可以先删掉 install.php
|
 |
24
Tink PRO 正常人安装完不会把 install.php 删了吗
|
 |
27
minbaby 2017 年 10 月 27 日
防不胜防啊, 赶紧偷偷删了 install.php
|
 |
30
junbguistar 2017 年 10 月 27 日
哇
|
|
31
torbrowserbridge 2017 年 10 月 27 日
“已经修复”,呵呵呵呵。
|
 |
32
nazor 2017 年 10 月 27 日 via iPhone
???这也太恶心了吧
|
 |
33
demo 2017 年 10 月 27 日 1
凉了,准备换掉 typecho
|
|
34
nazor 2017 年 10 月 27 日 2
"我们发现 祁宁 其实就是 joyqi,而 joyqi 是 typecho 的核心开发者,他把这段代码在 2014-04-08 写好后直接提交在了 master 中,查看 v0.9-14.5.25 的 releases,其中已经包含了这段代码,也就是说,这段代码形似后门的代码由核心开发者提交后,存在了三年半的时间,都没有任何人发现。。。。
那么究竟是谁添加的这段鸡儿用没有,但是谁都看不出来的代码呢。。。。。可能是 14 年的时候 joyqi 对账号被人黑掉了吧,也或许,这真的是开发者的一时手滑。细思恐极。" @joyqi |
 |
36
bsder 2017 年 10 月 27 日
好吓人,用过一段 typecho,还好现在不搞 blog 那套了。
|
 |
37
ScotGu 2017 年 10 月 27 日
install.php 和 install 目录 不是安装后第一时间干掉么?
|
 |
38
zgk 2017 年 10 月 27 日
方什么呢,漏洞本身并没那么容易利用啊
https://paper.seebug.org/424/ 部署的时候把运行 php-fpm 的用户独立开,配置好权限,让它只对 usr/uploads 才有写入权限,即使是 getshell 应该也不用太担心吧。 |
 |
39
Mutoo 2017 年 10 月 27 日 1
翻了下日志,还真的中招了,后门都种好了。
[26/Oct/2017:23:59:28 +1100] "POST /var/PasswordHash.php HTTP/1.1" 200 7 "https://***/" "Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)" |
 |
41
hjc4869 2017 年 10 月 27 日 via iPhone
@zgk 不会有人关心你的 root 权限或者其他文件,有网站本身运行的权限,就可以拿来爆你的数据库,以及做肉机 ddos 了
|
 |
43
xvx 2017 年 10 月 27 日 via iPhone
当年很多人在说换 Typecho 的时候,我忍住了继续用臃肿的 WP,因为之前用 z-blog 一段时间后也是忍不住换回了 WP。
现在用自己开发的博客( django 框架)……既能装逼,又有官方维护底层框架,岂不美哉? hiahia~ |
 |
45
Noisky 2017 年 10 月 27 日
一直用的 typecho,不过既然出了漏洞,就把 install.php 改成输出一句话吧 = =
|
 |
46
ctsed 2017 年 10 月 27 日 via Android
这段代码只要你设置了正确的 referer,然后加上一个 finish 参数就可以进入到这个分支中,他会直接反序列化 cookie 中传入的一个值,然后进行一些 db 初始化操作,但是这个初始化操作实际上没有任何一丁点作用,所以这里有这段代码本身就非常奇怪
|
|
47
zgk 2017 年 10 月 27 日 1
|
|
49
zgk 2017 年 10 月 27 日
|
 |
51
echopan 2017 年 10 月 27 日
我记得我貌似没删除 install.php
|
 |
52
arcytan 2017 年 10 月 27 日
|
 |
53
VicYu 2017 年 10 月 27 日
歪个楼,看第二篇文章,看到说“鸡儿用没有”的措辞后,仔细看了看这不是阿里云牌子的公众号吗,如此措辞,不太好吧?
|
 |
54
wsy2220 2017 年 10 月 27 日
还是自己写的放心...
|
 |
58
claysec 2017 年 10 月 27 日
```php
<?php die("404 Not found");?> ``` |
 |
59
Athrob 2017 年 10 月 28 日
强迫症也是有好处的, 安装完第一时间就把 install.php 删掉了.
|
 |
60
Trumeet 2017 年 10 月 28 日 via Android
在用 Hexo (逃跑
|
 |
61
lestat 2017 年 10 月 29 日 via iPhone
觉得 typecho 不好看,用 hexo 的路过
|
Select Language