|
|
发表于 2025-7-15 05:14:35
|
显示全部楼层
以我自己的经验,我是有发言权的,宝塔就是真正的木马入口。可以这样说,凡是使用宝塔的服务器或者wordpress程序的服务器,以及thinkphp等等的服务器,黑客是最开心的。当然,只要你有安全意识,这些都不是问题。问题就是大多数人正如楼主这样的,看到什么火就用什么。然后都是默认配置。。。特别注意 默认 两个字。。很多很火的软件,比如es搜索引擎,在默认情况下,允许外网访问,这就太离谱了。又比如mysql本来只监听127.0.0.1,但第三方图形界面的客户端,要求你使用的第一步就是开放远程访问等等。很多事情,都是一个文章,一个教程导致一大批跟着遭殃的。
当然,你说这是官方行为,也不是没有这个可能。因为互联网从业者中早已经被金钱腐蚀,从服务器到路由节点到你终端电脑到任何一个软件。其实都只是君子协定。要得到你的信息,数据,篡改,拦截,实在是太简单了。比如lnmp,等等脚本,还有最近的alist等等,在灰色产业大量金钱诱惑下,很难保证从业者还能坚守道德底线。比如,任何一个机房的从业者,只要稍微对你所在服务器读取以下,你就没有任何秘密可言。如果这是国家行为,那就更恐怖了。所以,如果你只是玩一下,没有任何商业价值,也没什么大不了的。但如果你是商业项目,就不得不去比其他人更加注重安全意识。从源代码加密,到传输加密,到访问权限,一切都要小心。一个很直观的事实。稍微大一点的互联网公司,就没见过哪个用宝塔面板的。也没见过哪个用wordress或者thinkphp框架的。没错。。。。第一步就应该开发自己的框架。
我曾经接手过印度外包的项目源代码。。。。人家是真的框架概念都没有,完全自己手搓的代码。。。但就是因为有了差异化,才不会被黑客找到漏洞。
开源的事实真相是,你作为源代码受益者可以下载安装。。黑客同样可以下载安装,黑客下载安装的目的就是在本地查找漏洞,分析特征。
需要注意的是,整个互联网没有开源,肯定是倒退几十年。但开源的一般都是中间件,而不是一个项目。
你可以注意到,任何一个有商业价值的公司项目,都没有开源过。我这里指的是互联网项目,网站,APP等。不要拿andorid或者linux这样的系统来说,这些是因为人家没有时间和经历,需要互联网共同维护。但大多数网站,APP开源项目,其实就是黑客最主要的攻击对象。因为分析漏洞实在是太方便了。 |
|
楼主
安装一些过时的FTP协议软件,这个指的是啥。