多个laravel程序被上传了后门文件如何避免

问答 / 484 / 12 / 创建于 1年前 / 更新于 1年前

public/download/image 默认权限755
我的没有任何上传相关的路由，只是一个网站展示，有人知道这是为什么吗？如何被上传到laravel程序的？
发现很多laravel 的其他程序下面也会有，有的在images下面会有这几个文件
访问www.xxx.com/adminer-4.8.1.php 然后输入数据库名密码可以直接登陆数据库
下面文件都是755权限被我改成644 现在无法访问了 404 了

多个laravel程序被上传了后门文件如何避免

课程读者 229 声望

保持好奇，刻意学习，每日精进

《L05 电商实战》

从零开发一个电商项目，功能包括电商后台、商品 & SKU 管理、购物车、订单管理、支付宝支付、微信支付、订单退款流程、优惠券等

《L02 从零构建论坛系统》

以构建论坛项目 LaraBBS 为线索，展开对 Laravel 框架的全面学习。应用程序架构思路贴近 Laravel 框架的设计哲学。

推荐文章：

更多推荐...

PHP 中一次反射需要多长时间 16 / 3 |

Laravel 11 中文文档仓库，已翻译完成！！！ 16 / 29 |

dcat-admin多应用后台高效实现免密登陆其它后台 19 / 10 |

[求职]在郑州工作4年的程序媛的简历优化 14 / 175 |

Laravel验证器最完整用法实例 31 / 14 |

PHP Annotated——2023 年 12 月 25 / 2 |

讨论数量: 12

Imuyu

课程读者 789 声望

1禁用eval和fil_put_contents

2上传接口检查文件后缀或者真实文件类型

3上传目录去掉执行权限，nginx配置规则动态文件直接返回404

1年前评论

李小明（楼主）

public换成了 744 去掉了执行代码，网站没有上传接口，只是不知道对方如何做到的把文件上传到我的public下面的

巴啦啦

课程读者 206 声望 / 宇宙游民 @ 地球村

这台服务器上，有没有跑其他程序？laravel 什么版本？

1年前评论

sodasix

课程读者 148 声望

上传的东西全给扔 CDN 去

1年前评论

arukas

课程读者 68 声望

建议文件要么minio，要么oss

1年前评论

tsingyan

课程读者 15 声望

nginx设置public目录下只允许访问index.php和静态文件目录

1年前评论

dedemao

课程读者 1 声望

分析下访问日志，看看是如何上传的，修补漏洞

1年前评论

Noctis

课程读者 40 声望

laravel我没遇到过，tp5遇到过，直接获取了整个服务器权限

1年前评论

陈先生

课程读者 605 声望 / 慢就业指挥官 @ 灵活就业规划中心

确认项目上线后有没有开启 DEBUG 模式。

1年前评论

巅峰互联

课程读者 19 声望 / PHP开发 @ 自由职业者

oss 上传，建议图片和程序分开，以免被不法分子定上。

1年前评论

小白菜

课程读者 11 声望

服务器只有一个应用吗，可以把代码弄下来用d盾或者其他木马扫描工具看一下还有没有其他可疑文件

1年前评论

sssssBugsssss

0 声望

尽量不要用phpmyadmin 哦

1年前评论

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容，与人为善，比聪明更重要！

帮助