[問題]關於拍賣模組

[阿維]

我在經過安裝一段時間之後,發現這個拍賣模組有嚴重的安全性漏洞,我被主機商告知這個程式有釣魚程式
而我用卡巴斯基將整個網站目錄掃描時,也發現有Linux的特洛伊木馬在裡面
所以在phpBB-Auction - FR官方沒有徹底解決這個問題之前,我是不會考慮再安裝的
畢竟他們現在也是自身難保

[過山雲]

會不會是後來被植入的？

[jwxinst]

會不會是後來被植入的？

應該是在開發外掛的時候仍然不夠成熟
後來被植入吧....

這不可能是開發人員自己放的....吧...

之前在官方好像見到類似的外掛
這幾天找找看

[阿維]

會不會是後來被植入的？

應該說拍賣模組本身就有安全性的漏洞
駭客可以透過777的檔案權限資料夾上傳木馬
反正我已經掃毒完了,以後也不會有機會安裝那套了

[jwxinst]

通常虛擬主機的cpanel都會有這個模組可以安裝
像attachment這些也是777
所以這類的外掛必需要很小心的維護
沒非要就去裝 其他aution的程式就會好很多

[lair]

會不會是後來被植入的？

應該說拍賣模組本身就有安全性的漏洞
駭客可以透過777的檔案權限資料夾上傳木馬
反正我已經掃毒完了,以後也不會有機會安裝那套了

的確是本身就有安全漏洞，但我想應該誠如 jwxinst 所言應該是在開發外掛時仍然不夠成熟之下而使得漏洞產生，不可能是開發人員自己放置的。

至於是否還能透過 upload 777 的檔案權限上傳木馬程式，且尚未得知，我不敢妄下預言。但若以此觀點而直接下評論，那是否也得將範圍擴及 Attach_Mod 了呢？

[阿維]

我的確在拍賣模組的上傳資料夾發現了很多特洛伊木馬病毒
附加檔案卻沒有發現到任何病毒,由此可見官方認證的MOD它的安全性可以信任的,而我那朋友的網站被停權了... (也沒有什麼好說的)

[jwxinst]

但是這個問題很難解決
假如說有人要上傳, 但是他的東西是有木馬的
但是主機應該沒有功能分析這些東西是不是有木馬.....

[過山雲]

裝防毒軟體呀～^^