第 4 頁 (共 4 頁)
發表於 : 2006-06-18 13:28
由 阿維
我在經過安裝一段時間之後,發現這個拍賣模組有嚴重的安全性漏洞,我被主機商告知這個程式有釣魚程式
而我用卡巴斯基將整個網站目錄掃描時,也發現有Linux的特洛伊木馬在裡面
所以在phpBB-Auction - FR官方沒有徹底解決這個問題之前,我是不會考慮再安裝的
畢竟他們現在也是自身難保
發表於 : 2006-06-19 02:14
由 過山雲
會不會是後來被植入的?
發表於 : 2006-06-19 02:30
由 jwxinst
過山雲 寫:會不會是後來被植入的?
應該是在開發外掛的時候仍然不夠成熟
後來被植入吧....
這不可能是開發人員自己放的....吧...
之前在官方好像見到類似的外掛
這幾天找找看
發表於 : 2006-06-19 09:05
由 阿維
過山雲 寫:會不會是後來被植入的?
應該說拍賣模組本身就有安全性的漏洞
駭客可以透過777的檔案權限資料夾上傳木馬
反正我已經掃毒完了,以後也不會有機會安裝那套了
發表於 : 2006-06-19 09:21
由 jwxinst
通常虛擬主機的cpanel都會有這個模組可以安裝
像attachment這些也是777
所以這類的外掛必需要很小心的維護
沒非要就去裝 其他aution的程式就會好很多
發表於 : 2006-08-01 13:53
由 lair
JORDAN 寫:過山雲 寫:會不會是後來被植入的?
應該說拍賣模組本身就有安全性的漏洞
駭客可以透過777的檔案權限資料夾上傳木馬
反正我已經掃毒完了,以後也不會有機會安裝那套了
的確是本身就有安全漏洞,但我想應該誠如 jwxinst 所言應該是在開發外掛時仍然不夠成熟之下而使得漏洞產生,不可能是開發人員自己放置的。
至於是否還能透過 upload 777 的檔案權限上傳木馬程式,且尚未得知,我不敢妄下預言。但若以此觀點而直接下評論,那是否也得將範圍擴及 Attach_Mod 了呢?
發表於 : 2006-08-01 15:40
由 阿維
我的確在拍賣模組的上傳資料夾發現了很多特洛伊木馬病毒
附加檔案卻沒有發現到任何病毒,由此可見官方認證的MOD它的安全性可以信任的,而我那朋友的網站被停權了... (也沒有什麼好說的)
發表於 : 2006-08-01 23:02
由 jwxinst
但是這個問題很難解決
假如說有人要上傳, 但是他的東西是有木馬的
但是主機應該沒有功能分析這些東西是不是有木馬.....
發表於 : 2006-08-01 23:59
由 過山雲
裝防毒軟體呀~^^