我有一个可能很简单的问题 - 但我现在无法理解它。我在我的Ubuntu 10.04LTS虚拟服务器上托管了一些站点,并且在所有这些站点上(Drupal 6)我可以直接进入下面的任何文件夹(包括)/ sites(包括模块目录)。
[edit]我刚刚意识到我可以去任何文件夹 - 也就是/包括... [/ edit]
我不记得这是正常的,而且我可以访问/ sites / default文件夹似乎存在安全风险 - 尽管我可能只是偏执狂。
任何人都可以确认这是否正常,如果没有指出可能是我问题的根源?
干杯
史蒂夫
答案 0 :(得分:0)
我发现了问题 - 这是双重的:
首先,由于某些原因,我的.htaccess文件(由Drupal生成)在某些网站上丢失(我认为这可能是相关网站的根文件夹的权限问题)。
其次,我在每个网站的配置文件中都有一个狡猾的规则,无论如何都会覆盖.htaccess文件 - 这将教会我从网络博客复制粘贴...找到mod_rewrite的正确布局关于Drupal网站本身的部分。
这是一个奇怪的,并做了一点发现,但它现在排序
答案 1 :(得分:0)
你不是偏执狂,你是对的,如果暴露了你的/ sites / default目录,那么你的settings.php文件也是如此,它包含你的数据库连接信息(主机,用户名,密码)。 由于您必须为Drupal创建的mysql用户具有DROP TABLE的权限,因此暴露您的数据库不仅意味着渗透可能显示数据,而且还允许渗透破坏您的数据库。