这是一个创建于 2155 天前的主题,其中的信息可能已经有所发展或是发生改变。
原来看到了 thinkphp 有一个安全更新,但是因为项目太多,就更新了一些常用项目,有些项目没有更新,今天有人反应网站的 keyword 被修改,而且百度进来的访问会被跳转,连忙查找发现 thinkphp 中 public/index.php 被修改,修改后的代码主体是原来首页的 html,js 判断是否从百度,谷歌等搜索引擎进来,如果是就跳转,所以我一直没发现,连忙挨个升级 thinkphp,在我升级过程中还不断有项目被更改,刚刚终于全改完了,应该是已经出来了自动攻击工具了
 |
1
Mitt 2018-12-28 12:29:11 +08:00 via iPhone
某某: 只要稳定,升级就是给自己找麻烦
现实总是应该会多给这种人几个巴掌 |
 |
2
nicevar 2018-12-28 12:37:29 +08:00  1
这些框架有人盯着真的很难逃脱,一个参数没处理好可能就 gg 了
上次我帮朋友把他一个项目从 2 升级到 3 并支持 php7,由于 t5 版本改动太大不考虑升了,顺便帮他补了一下注入漏洞,结果发现太多了,到后面我都不想动了,就那样吧 |
 |
4
yzkcy 2018-12-28 13:53:27 +08:00
这框架不是最近爆出 RCE 和 SQLi 了么,不升级也是心大。
|
 |
6
yuluofanchen 2018-12-28 14:58:07 +08:00
TP 最近被爆出漏洞了!
|
 |
7
sebga 2018-12-28 16:09:18 +08:00
也是和楼主的情况一样 tp5.0.10
|
 |
8
xzkp 2018-12-28 16:47:42 +08:00
ThinkPHP v5.x 命令执行
|
 |
9
topthink 2018-12-28 16:55:56 +08:00
ThinkPHP 每年被挖点漏洞 倒是帮助官方更方便统计有多少用户在用 来来来,看看 V2 有多少用户在用 TP :-)
|
 |
10
showecho 2018-12-28 16:58:26 +08:00
什么版本啊,3.x 版本有问题么
|
 |
11
avenger 2018-12-28 16:59:06 +08:00 via iPhone
用了 composer 自动部署的话,是不是可以避免这个问题?
|
|
12
topthink 2018-12-28 17:39:04 +08:00
关注官方博客或者公众号,就能第一时间获取安全更新和最新动态
博客: https://blog.thinkphp.cn/ 附上最新一次的安全更新: https://blog.thinkphp.cn/869075 @showecho 3.x 版本不受此次漏洞影响 |
 |
13
yunye 2018-12-28 17:40:26 +08:00
随时把各种依赖的包更新到最新版
|
 |
14
gouchaoer 2018-12-28 20:13:33 +08:00 via Android
tp 都爆出多少任意代码执行了?你看看 yii、cake 啥的有这么多么?搞不懂为啥还这么多人用
|
 |
15
ben1024 2018-12-28 20:28:38 +08:00
安全,速度,价格
2/3 |
 |
16
icerhe 2018-12-28 20:44:21 +08:00
是不是 php 框架盯着的人多?我这里访问日志看到的尝试攻击基本都是 php 的,问题我这里所有项目都是 java 啊...
|
 |
17
wly19960911 2018-12-28 21:00:02 +08:00
@icerhe #16 很多 PHP 就能自动部署的站,比如 WordPress,那种站被盯着是最多,你们这种自己开发的写出来不适用其他网站
|
 |
20
ioschen 2018-12-29 11:58:30 +08:00
@just1 你说的我懂,所以我说真的稳定,还有照这么说下去永远都没有安全的,因为鬼知道有没有 bug。
真的稳定至少那段时间没被人发现漏洞就是真稳定,等发现的时候已经退出新的稳定版,补丁,已经修复了这个 bug,所以还是稳定安全的。 |
 |
21
mmuggle 2018-12-29 12:32:19 +08:00
同被攻击,包括 .net 开发的也是被 php 脚本尝试攻击
|
 |
22
hoyixi 2018-12-29 15:47:31 +08:00
准确说安全更新应该是 patch,安全 patch 一定要打,好比漏水了,不补肯定出事。
"安全更新"听上去好听点,好像产品升级似的,其实是打补丁、擦屁股,和“更新”完全两码事,千万别被迷惑~ |
Select Language