多个laravel程序被上传了后门文件如何避免

问答 / 4 / 12 / 创建于 2年前 / 更新于 2年前

public/download/image 默认权限755
我的没有任何上传相关的路由，只是一个网站展示，有人知道这是为什么吗？如何被上传到laravel程序的？
发现很多laravel 的其他程序下面也会有，有的在images下面会有这几个文件
访问www.xxx.com/adminer-4.8.1.php 然后输入数据库名密码可以直接登陆数据库
下面文件都是755权限被我改成644 现在无法访问了 404 了

多个laravel程序被上传了后门文件如何避免

课程读者 237 声望

保持好奇，刻意学习，每日精进

《L05 电商实战》

从零开发一个电商项目，功能包括电商后台、商品 & SKU 管理、购物车、订单管理、支付宝支付、微信支付、订单退款流程、优惠券等

《L01 基础入门》

我们将带你从零开发一个项目并部署到线上，本课程教授 Web 开发中专业、实用的技能，如 Git 工作流、Laravel Mix 前端工作流等。

讨论数量: 12

Imuyu

课程读者 878 声望

1禁用eval和fil_put_contents

2上传接口检查文件后缀或者真实文件类型

3上传目录去掉执行权限，nginx配置规则动态文件直接返回404

2年前评论

李小明（楼主）

public换成了 744 去掉了执行代码，网站没有上传接口，只是不知道对方如何做到的把文件上传到我的public下面的

巴啦啦

课程读者 206 声望 / 宇宙游民 @ 地球村

这台服务器上，有没有跑其他程序？laravel 什么版本？

2年前评论

sodasix

课程读者 148 声望

上传的东西全给扔 CDN 去

2年前评论

arukas

课程读者 73 声望

建议文件要么minio，要么oss

2年前评论

tsingyan

课程读者 21 声望

nginx设置public目录下只允许访问index.php和静态文件目录

2年前评论

dedemao

课程读者 1 声望

分析下访问日志，看看是如何上传的，修补漏洞

2年前评论

Noctis

课程读者 49 声望

laravel我没遇到过，tp5遇到过，直接获取了整个服务器权限

2年前评论

陈先生

课程读者 651 声望 / PHP_EOL @ NaN

确认项目上线后有没有开启 DEBUG 模式。

2年前评论

巅峰互联

课程读者 24 声望 / PHP开发 @ 自由职业者

oss 上传，建议图片和程序分开，以免被不法分子定上。

2年前评论

小白菜

课程读者 14 声望

服务器只有一个应用吗，可以把代码弄下来用d盾或者其他木马扫描工具看一下还有没有其他可疑文件

2年前评论

sssssBugsssss

0 声望

尽量不要用phpmyadmin 哦

2年前评论

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容，与人为善，比聪明更重要！

帮助