我最近发生了一个事件,一个帮助从印度编写代码的旧开发人员要求给他工作,并且在不知不觉中我没有意识到他想要的是cpanel访问。我通过发布cpanel信用卡,通过自由职业者在网上招聘的经历很糟糕。所以这位开发人员对我有所了解,我想是因为几个星期前,一位老同事的兄弟确实在网站上纠正了这个问题,之后那个来自印度的开发人员告诉我工作需要cpanel访问,但我不是给他所以他想要压缩文件夹中的所有文件,我不认为它会回来咬我但是config中的database.php文件有我的db用户和密码。我的问题是开发人员可以使用此文件信息远程访问我的网站。我还习惯通过cpanel确保删除与mysql远程的任何远程连接。它显示远程连接的IP地址。从那时起,我也在配置中更改了database.php上的PW。
答案 0 :(得分:1)
开发人员可以使用此文件远程访问我的网站。
这取决于 - 很可能答案是是。你说他得到了MySQL登录的详细信息 - 服务器,用户名,密码和数据库名称。有了这些,他就可以从任何地方登录数据库,因为他可以连接到您的数据库服务器并使用这些凭据进行身份验证。
那么,他能从那里做些什么呢?几乎任何与数据库相关的任务。
echo输出到用户的屏幕上,他可以在那里添加他自己的HTML / JavaScript,并可能将它们重定向到另一个看起来相似的网站(他们不会通知)并欺骗他们的密码,或在您的网站上添加一些可能使用户不再信任您的密码等。立即更改数据库用户密码!!! 如果您有多个MySQL用户,我建议您也更改密码。
为了防止我提到的第二次攻击(代码注入),请在获取文件之前回滚数据库(如果可能的话)。
回滚也会修复他可以删除的任何东西,所以这基本上修复了攻击1和2.
至于攻击3,他现在可以导出整个数据库了,所以你无能为力。如果您以纯文本形式存储用户密码(不应该),请让他们知道,并让他们在其他网站上使用密码时更改密码。
除非您使用与用户相同的密码进行cPanel登录。如果你这样做了,也要立即更改密码,也许可以在访问之前回滚整个网站。
也许。他有可能只是想在你的网站上工作,并没有真正做任何恶意的事情。然后,他本可以尝试我讨论过的任何事情。没有任何方法可以知道。