首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  PHP

thinkphp 偷懒没升级被上了一课

  •  
  •   ninestep · 55 天前 · 3290 次点击
    这是一个创建于 55 天前的主题,其中的信息可能已经有所发展或是发生改变。

    原来看到了 thinkphp 有一个安全更新,但是因为项目太多,就更新了一些常用项目,有些项目没有更新,今天有人反应网站的 keyword 被修改,而且百度进来的访问会被跳转,连忙查找发现 thinkphp 中 public/index.php 被修改,修改后的代码主体是原来首页的 html,js 判断是否从百度,谷歌等搜索引擎进来,如果是就跳转,所以我一直没发现,连忙挨个升级 thinkphp,在我升级过程中还不断有项目被更改,刚刚终于全改完了,应该是已经出来了自动攻击工具了

    22 回复  |  直到 2018-12-29 15:47:31 +08:00
        1
    Mitt   55 天前 via iPhone
    某某: 只要稳定,升级就是给自己找麻烦

    现实总是应该会多给这种人几个巴掌
        2
    nicevar   55 天前   ♥ 1
    这些框架有人盯着真的很难逃脱,一个参数没处理好可能就 gg 了
    上次我帮朋友把他一个项目从 2 升级到 3 并支持 php7,由于 t5 版本改动太大不考虑升了,顺便帮他补了一下注入漏洞,结果发现太多了,到后面我都不想动了,就那样吧
        3
    ioschen   55 天前
    @Mitt 这话没毛病,这种还不是因为不稳定有 bug 漏洞导致。
    如果真的稳定还是不要升级好
        4
    yzkcy   55 天前
    这框架不是最近爆出 RCE 和 SQLi 了么,不升级也是心大。
        5
    just1   55 天前
    @ioschen #3 稳定!=安全。然后漏洞没报出来之前谁也不知道是不是安全的。
        6
    yuluofanchen   55 天前
    TP 最近被爆出漏洞了!
        7
    sebga   55 天前
    也是和楼主的情况一样 tp5.0.10
        8
    xzkp   55 天前
    ThinkPHP v5.x 命令执行
        9
    topthink   55 天前
    ThinkPHP 每年被挖点漏洞 倒是帮助官方更方便统计有多少用户在用 来来来,看看 V2 有多少用户在用 TP :-)
        10
    showecho   55 天前
    什么版本啊,3.x 版本有问题么
        11
    avenger   55 天前 via iPhone
    用了 composer 自动部署的话,是不是可以避免这个问题?
        12
    topthink   55 天前
    关注官方博客或者公众号,就能第一时间获取安全更新和最新动态
    博客: https://blog.thinkphp.cn/
    附上最新一次的安全更新: https://blog.thinkphp.cn/869075

    @showecho 3.x 版本不受此次漏洞影响
        13
    yunye   55 天前
    随时把各种依赖的包更新到最新版
        14
    gouchaoer   55 天前 via Android
    tp 都爆出多少任意代码执行了?你看看 yii、cake 啥的有这么多么?搞不懂为啥还这么多人用
        15
    ben1024   55 天前
    安全,速度,价格
    2/3
        16
    icerhe   55 天前
    是不是 php 框架盯着的人多?我这里访问日志看到的尝试攻击基本都是 php 的,问题我这里所有项目都是 java 啊...
        17
    wly19960911   55 天前
    @icerhe #16 很多 PHP 就能自动部署的站,比如 WordPress,那种站被盯着是最多,你们这种自己开发的写出来不适用其他网站
        18
    realpg   54 天前
    @icerhe #16
    PHP 烂代码多
    PHP 应用广泛 部署简单
        19
    Telegram   54 天前 via iPhone
    @gouchaoer #14 就好像经常有人喷 win 病毒多一样。
    那是因为用的人多,才会被盯上
        20
    ioschen   54 天前
    @just1 你说的我懂,所以我说真的稳定,还有照这么说下去永远都没有安全的,因为鬼知道有没有 bug。
    真的稳定至少那段时间没被人发现漏洞就是真稳定,等发现的时候已经退出新的稳定版,补丁,已经修复了这个 bug,所以还是稳定安全的。
        21
    mmuggle   54 天前
    同被攻击,包括 .net 开发的也是被 php 脚本尝试攻击
        22
    hoyixi   54 天前
    准确说安全更新应该是 patch,安全 patch 一定要打,好比漏水了,不补肯定出事。

    "安全更新"听上去好听点,好像产品升级似的,其实是打补丁、擦屁股,和“更新”完全两码事,千万别被迷惑~
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1957 人在线   最高记录 4385   ·  
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 17ms · UTC 16:01 · PVG 00:01 · LAX 08:01 · JFK 11:01
    ♥ Do have faith in what you're doing.
    沪ICP备16043287号-1