V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
ninestep
V2EX  ›  PHP

thinkphp 偷懒没升级被上了一课

  •  
  •   ninestep · 2018-12-28 12:17:13 +08:00 · 6852 次点击
    这是一个创建于 2159 天前的主题,其中的信息可能已经有所发展或是发生改变。

    原来看到了 thinkphp 有一个安全更新,但是因为项目太多,就更新了一些常用项目,有些项目没有更新,今天有人反应网站的 keyword 被修改,而且百度进来的访问会被跳转,连忙查找发现 thinkphp 中 public/index.php 被修改,修改后的代码主体是原来首页的 html,js 判断是否从百度,谷歌等搜索引擎进来,如果是就跳转,所以我一直没发现,连忙挨个升级 thinkphp,在我升级过程中还不断有项目被更改,刚刚终于全改完了,应该是已经出来了自动攻击工具了

    22 条回复    2018-12-29 15:47:31 +08:00
    Mitt
        1
    Mitt  
       2018-12-28 12:29:11 +08:00 via iPhone
    某某: 只要稳定,升级就是给自己找麻烦

    现实总是应该会多给这种人几个巴掌
    nicevar
        2
    nicevar  
       2018-12-28 12:37:29 +08:00   ❤️ 1
    这些框架有人盯着真的很难逃脱,一个参数没处理好可能就 gg 了
    上次我帮朋友把他一个项目从 2 升级到 3 并支持 php7,由于 t5 版本改动太大不考虑升了,顺便帮他补了一下注入漏洞,结果发现太多了,到后面我都不想动了,就那样吧
    ioschen
        3
    ioschen  
       2018-12-28 13:45:07 +08:00
    @Mitt 这话没毛病,这种还不是因为不稳定有 bug 漏洞导致。
    如果真的稳定还是不要升级好
    yzkcy
        4
    yzkcy  
       2018-12-28 13:53:27 +08:00
    这框架不是最近爆出 RCE 和 SQLi 了么,不升级也是心大。
    just1
        5
    just1  
       2018-12-28 13:57:44 +08:00
    @ioschen #3 稳定!=安全。然后漏洞没报出来之前谁也不知道是不是安全的。
    yuluofanchen
        6
    yuluofanchen  
       2018-12-28 14:58:07 +08:00
    TP 最近被爆出漏洞了!
    sebga
        7
    sebga  
       2018-12-28 16:09:18 +08:00
    也是和楼主的情况一样 tp5.0.10
    xzkp
        8
    xzkp  
       2018-12-28 16:47:42 +08:00
    ThinkPHP v5.x 命令执行
    topthink
        9
    topthink  
       2018-12-28 16:55:56 +08:00
    ThinkPHP 每年被挖点漏洞 倒是帮助官方更方便统计有多少用户在用 来来来,看看 V2 有多少用户在用 TP :-)
    showecho
        10
    showecho  
       2018-12-28 16:58:26 +08:00
    什么版本啊,3.x 版本有问题么
    avenger
        11
    avenger  
       2018-12-28 16:59:06 +08:00 via iPhone
    用了 composer 自动部署的话,是不是可以避免这个问题?
    topthink
        12
    topthink  
       2018-12-28 17:39:04 +08:00
    关注官方博客或者公众号,就能第一时间获取安全更新和最新动态
    博客: https://blog.thinkphp.cn/
    附上最新一次的安全更新: https://blog.thinkphp.cn/869075

    @showecho 3.x 版本不受此次漏洞影响
    yunye
        13
    yunye  
       2018-12-28 17:40:26 +08:00
    随时把各种依赖的包更新到最新版
    gouchaoer
        14
    gouchaoer  
       2018-12-28 20:13:33 +08:00 via Android
    tp 都爆出多少任意代码执行了?你看看 yii、cake 啥的有这么多么?搞不懂为啥还这么多人用
    ben1024
        15
    ben1024  
       2018-12-28 20:28:38 +08:00
    安全,速度,价格
    2/3
    icerhe
        16
    icerhe  
       2018-12-28 20:44:21 +08:00
    是不是 php 框架盯着的人多?我这里访问日志看到的尝试攻击基本都是 php 的,问题我这里所有项目都是 java 啊...
    wly19960911
        17
    wly19960911  
       2018-12-28 21:00:02 +08:00
    @icerhe #16 很多 PHP 就能自动部署的站,比如 WordPress,那种站被盯着是最多,你们这种自己开发的写出来不适用其他网站
    realpg
        18
    realpg  
       2018-12-29 01:59:52 +08:00
    @icerhe #16
    PHP 烂代码多
    PHP 应用广泛 部署简单
    Telegram
        19
    Telegram  
       2018-12-29 04:17:51 +08:00 via iPhone
    @gouchaoer #14 就好像经常有人喷 win 病毒多一样。
    那是因为用的人多,才会被盯上
    ioschen
        20
    ioschen  
       2018-12-29 11:58:30 +08:00
    @just1 你说的我懂,所以我说真的稳定,还有照这么说下去永远都没有安全的,因为鬼知道有没有 bug。
    真的稳定至少那段时间没被人发现漏洞就是真稳定,等发现的时候已经退出新的稳定版,补丁,已经修复了这个 bug,所以还是稳定安全的。
    mmuggle
        21
    mmuggle  
       2018-12-29 12:32:19 +08:00
    同被攻击,包括 .net 开发的也是被 php 脚本尝试攻击
    hoyixi
        22
    hoyixi  
       2018-12-29 15:47:31 +08:00
    准确说安全更新应该是 patch,安全 patch 一定要打,好比漏水了,不补肯定出事。

    "安全更新"听上去好听点,好像产品升级似的,其实是打补丁、擦屁股,和“更新”完全两码事,千万别被迷惑~
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1027 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 20:58 · PVG 04:58 · LAX 12:58 · JFK 15:58
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.