多个laravel程序被上传了后门文件如何避免

问答 / 3 / 12 / 创建于 2年前 / 更新于 2年前

public/download/image 默认权限755
我的没有任何上传相关的路由，只是一个网站展示，有人知道这是为什么吗？如何被上传到laravel程序的？
发现很多laravel 的其他程序下面也会有，有的在images下面会有这几个文件
访问www.xxx.com/adminer-4.8.1.php 然后输入数据库名密码可以直接登陆数据库
下面文件都是755权限被我改成644 现在无法访问了 404 了

多个laravel程序被上传了后门文件如何避免

课程读者 237 声望

保持好奇，刻意学习，每日精进

《L05 电商实战》

从零开发一个电商项目，功能包括电商后台、商品 & SKU 管理、购物车、订单管理、支付宝支付、微信支付、订单退款流程、优惠券等

《L04 微信小程序从零到发布》

从小程序个人账户申请开始，带你一步步进行开发一个微信小程序，直到提交微信控制台上线发布。

推荐文章：

更多推荐...

用 Laravel12 Startkit 做了一个 composer 私有包托管平台 😂 点赞超过 20 个开源，看看需要的人多不多 27 / 19 |

如何打造令后端面试官印象深刻的简历？ 14 / 10 |

10年了，兜兜转转，我还是回去了 25 / 41 |

花了四个月打磨的 Laravel Plus 开源 30 / 98 |

试用 Laravel + 树莓派搭建视频监控，并支持线上访问 26 / 19 |

在laravel下实现全双工的websocket开发 21 / 8 |

讨论数量: 12

Imuyu

课程读者 870 声望

1禁用eval和fil_put_contents

2上传接口检查文件后缀或者真实文件类型

3上传目录去掉执行权限，nginx配置规则动态文件直接返回404

2年前评论

李小明（楼主）

public换成了 744 去掉了执行代码，网站没有上传接口，只是不知道对方如何做到的把文件上传到我的public下面的

巴啦啦

课程读者 206 声望 / 宇宙游民 @ 地球村

这台服务器上，有没有跑其他程序？laravel 什么版本？

2年前评论

sodasix

课程读者 148 声望

上传的东西全给扔 CDN 去

2年前评论

arukas

课程读者 68 声望

建议文件要么minio，要么oss

2年前评论

tsingyan

课程读者 21 声望

nginx设置public目录下只允许访问index.php和静态文件目录

2年前评论

dedemao

课程读者 1 声望

分析下访问日志，看看是如何上传的，修补漏洞

2年前评论

Noctis

课程读者 47 声望

laravel我没遇到过，tp5遇到过，直接获取了整个服务器权限

2年前评论

陈先生

课程读者 650 声望 / PHP_EOL @ NaN

确认项目上线后有没有开启 DEBUG 模式。

2年前评论

巅峰互联

课程读者 23 声望 / PHP开发 @ 自由职业者

oss 上传，建议图片和程序分开，以免被不法分子定上。

2年前评论

小白菜

课程读者 12 声望

服务器只有一个应用吗，可以把代码弄下来用d盾或者其他木马扫描工具看一下还有没有其他可疑文件

2年前评论

sssssBugsssss

0 声望

尽量不要用phpmyadmin 哦

2年前评论

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容，与人为善，比聪明更重要！

帮助