这是一个创建于 2480 天前的主题,其中的信息可能已经有所发展或是发生改变。
原来看到了 thinkphp 有一个安全更新,但是因为项目太多,就更新了一些常用项目,有些项目没有更新,今天有人反应网站的 keyword 被修改,而且百度进来的访问会被跳转,连忙查找发现 thinkphp 中 public/index.php 被修改,修改后的代码主体是原来首页的 html,js 判断是否从百度,谷歌等搜索引擎进来,如果是就跳转,所以我一直没发现,连忙挨个升级 thinkphp,在我升级过程中还不断有项目被更改,刚刚终于全改完了,应该是已经出来了自动攻击工具了
 | 1 Mitt 2018-12-28 12:29:11 +08:00 via iPhone 某某: 只要稳定,升级就是给自己找麻烦 现实总是应该会多给这种人几个巴掌 |
 | 2 nicevar 2018-12-28 12:37:29 +08:00  1 这些框架有人盯着真的很难逃脱,一个参数没处理好可能就 gg 了 上次我帮朋友把他一个项目从 2 升级到 3 并支持 php7,由于 t5 版本改动太大不考虑升了,顺便帮他补了一下注入漏洞,结果发现太多了,到后面我都不想动了,就那样吧 |
 | 4 lorryo 2018-12-28 13:53:27 +08:00 这框架不是最近爆出 RCE 和 SQLi 了么,不升级也是心大。 |
 | 6 yuluofanchen 2018-12-28 14:58:07 +08:00 TP 最近被爆出漏洞了! |
 | 7 sebga 2018-12-28 16:09:18 +08:00 也是和楼主的情况一样 tp5.0.10 |
 | 8 xzkp 2018-12-28 16:47:42 +08:00 ThinkPHP v5.x 命令执行 |
 | 9 topthink 2018-12-28 16:55:56 +08:00 ThinkPHP 每年被挖点漏洞 倒是帮助官方更方便统计有多少用户在用 来来来,看看 V2 有多少用户在用 TP :-) |
 | 10 showecho 2018-12-28 16:58:26 +08:00 什么版本啊,3.x 版本有问题么 |
 | 11 avenger 2018-12-28 16:59:06 +08:00 via iPhone 用了 composer 自动部署的话,是不是可以避免这个问题? |
| 12 topthink 2018-12-28 17:39:04 +08:00 关注官方博客或者公众号,就能第一时间获取安全更新和最新动态 博客: https://blog.thinkphp.cn/ 附上最新一次的安全更新: https://blog.thinkphp.cn/869075 @showecho 3.x 版本不受此次漏洞影响 |
 | 13 yunye 2018-12-28 17:40:26 +08:00 随时把各种依赖的包更新到最新版 |
 | 14 gouchaoer 2018-12-28 20:13:33 +08:00 via Android tp 都爆出多少任意代码执行了?你看看 yii、cake 啥的有这么多么?搞不懂为啥还这么多人用 |
 | 15 ben1024 2018-12-28 20:28:38 +08:00 安全,速度,价格 2/3 |
 | 16 icerhe 2018-12-28 20:44:21 +08:00 是不是 php 框架盯着的人多?我这里访问日志看到的尝试攻击基本都是 php 的,问题我这里所有项目都是 java 啊... |
 | 17 wly19960911 2018-12-28 21:00:02 +08:00 @icerhe #16 很多 PHP 就能自动部署的站,比如 WordPress,那种站被盯着是最多,你们这种自己开发的写出来不适用其他网站 |
 | 20 ioschen 2018-12-29 11:58:30 +08:00 @just1 你说的我懂,所以我说真的稳定,还有照这么说下去永远都没有安全的,因为鬼知道有没有 bug。 真的稳定至少那段时间没被人发现漏洞就是真稳定,等发现的时候已经退出新的稳定版,补丁,已经修复了这个 bug,所以还是稳定安全的。 |
 | 21 mmuggle 2018-12-29 12:32:19 +08:00 同被攻击,包括 .net 开发的也是被 php 脚本尝试攻击 |
 | 22 hoyixi 2018-12-29 15:47:31 +08:00 准确说安全更新应该是 patch,安全 patch 一定要打,好比漏水了,不补肯定出事。 "安全更新"听上去好听点,好像产品升级似的,其实是打补丁、擦屁股,和“更新”完全两码事,千万别被迷惑~ |
Select Language