WDlinux官方论坛 » wdCP V3|Linux服务器/云主机/虚拟主机管理系统 » WDCP 重大漏洞密码为明文直接用PHP能读取到密码默认直接跨站

无标题文档


wdCP系统 (介绍,功能特性,运行环境,安装说明,演示,常见问题,使用教程)		wdCDN系统 (介绍,功能特性,运行环境,安装说明,演示,常见问题,使用手册)
wdOS系统 (介绍,功能特性,运行环境,安装说明,演示,常见问题,使用教程)		wdDNS系统 (介绍,功能特性,运行环境,安装说明,演示,常见问题,使用手册)
注册发贴提问回复-必看必看	wddns免费智能 DNS 开通	本地或虚拟机使用wdcp	一键包在mysql编译时"卡住"
【300G高防】双线无视攻击	wdcp官方技术支持/服务	阿里云8折优惠券无敌云	腾讯云优惠中，现注册更有260代金额券赠送

返回列表发帖

Rank: 2

1^# 跳转到 » 倒序看帖

字体大小: tT

发表于 2018-7-15 19:30 | 只看该作者

提问三步曲: 提问先看教程/FAQ索引(wdcp,wdcp_v3,一键包)及搜索,会让你更快解决问题
1 提供详细，如系统版本,wdcp版本,软件版本等及错误的详细信息,贴上论坛或截图发论坛
2 做过哪些操作或改动设置等

温馨提示：信息不详,很可能会没人理你！论坛有教程说明的，也可能没人理！因为,你懂的

[BUG反馈] WDCP 重大漏洞密码为明文直接用PHP能读取到密码默认直接跨站

最近,我的VPS上安置了几个网站用户,不知道是用户搞鬼还是网站织梦程序本身漏洞,导致被上传文件管理器,而且整个就跨站了,所有的网站都有木马程序,整个被人操控,我试了,无论在哪个空间搞一个file_get_contents(WDCP密码路径)这里不再细说了,你懂得,然后就读取到WDCP密码其他一些密码端口配置等等都是可以直接读取所以说这些写重大隐患,搞个MD5也好吧其他网站的文件更是随意读取修改这就是跨站最近被黑的太惨感谢WDCP 给我带来方便的同时也带来麻烦谢谢

Rank: 9 Rank: 9 Rank: 9

2^#

发表于 2018-7-16 15:04 | 只看该作者

不知你是在哪里看，是明文，很好奇
而且，默认的数据库文件，也只有root用户可读写，其它用户是不可读的

看清提问三步曲及多看教程/FAQ索引(wdcp,v3,一键包,wdOS),益处多多.wdcp工具集阿里云主机8折优惠码

Rank: 2

3^#

发表于 2018-7-16 19:39 | 只看该作者

老铁,密码就在/www/wdlinux/wdcp/conf/mrpw.conf 明文的难道您不知道吗 ?

Rank: 2

4^#

发表于 2018-7-16 22:44 | 只看该作者

刚测试了一下，这还真的是这样的。

Rank: 1

5^#

发表于 2018-7-17 10:31 | 只看该作者

刚刚看了一下，这里看到的是mysql密码，还真是

wdcp我的爱

Rank: 2

6^#

发表于 2018-7-17 11:12 | 只看该作者

看到的就是WDCP登录密码啊你说是SQL密码说明你登录密码和 SQL 密码一样的,其实其他的 FTP 密码也是明文的本来LINUX 都是文本形式存在只要获得路径一切都曝光了

Rank: 1

7^#

发表于 2018-7-17 16:14 | 只看该作者

我前段时间也被人拿了后台，后来自己改了密码，如果这样有可能修改后的密码他们也有可能拿到。

Rank: 9 Rank: 9 Rank: 9

8^#

发表于 2018-7-18 12:28 | 只看该作者

这个是mysql的密码，并不是wdcp的登录密码
为了小工具的方便用，确实是明文存储。不过一般用户是读取不到的
这个文件的默认权限，应该是600，其它的用户也读不到的
可以检查或重新设置一下
chmod 600 /www/wdlinux/wdcp/conf/mrpw.conf

看清提问三步曲及多看教程/FAQ索引(wdcp,v3,一键包,wdOS),益处多多.wdcp工具集阿里云主机8折优惠码

Rank: 2

9^#

发表于 2018-7-18 18:36 | 只看该作者

回复 8# admin

老铁,绝对是 WDCP 的登录密码这个不用质疑的您老人家还是先核实吧

Rank: 2

10^#

发表于 2018-7-18 19:01 | 只看该作者

回复 8# admin

不好意思群主,仔细看了应该是 SQL 密码 ,还是建议大家把各种密码设置不同吧我就是设置一样的惹的祸

Rank: 2

11^#

发表于 2018-7-18 19:03 | 只看该作者

如果要进行实际运营还是要从APCHE 和 PHP 设置等等基础的安全上学好好的优化否则等于裸奔哦我就是上当了被黑的很惨一个站被下木马整个服务器遭殃了还是自己太过于信任WDCP 还是从基础安全学习考量吧

Rank: 7 Rank: 7 Rank: 7

12^#

发表于 2018-7-31 23:28 | 只看该作者

回复 11# jsudi

使用面板过程中，基本安全常识还是要了解一下的，比如root密码wd登录密码等，千万别一样，还有弱口令，在不需要ssh的情况下，可以关闭ssh，ping也可以关闭掉的！

这个人很勤快~暂时没有个性签名

Rank: 2

13^#

发表于 2018-9-11 22:50 | 只看该作者

回复 12# Miker

my明文也不怎么安全吧？

付费解决 QQ15365637

Rank: 1

14^#

发表于 2018-11-23 10:21 | 只看该作者

明文的确实不安全

上下求索

Rank: 1

15^#

发表于 2018-11-24 16:01 | 只看该作者

怎样才能找回wdcp密码