Home Sign Up Sign In
通过以下 Referral 链接购买 DigitalOcean 主机,你将可以帮助 V2EX 持续发展
DigitalOcean - SSD Cloud Servers
loveminds
V2EX  ›  VPS

感觉搬瓦工后台存在非常严重的安全隐患

  •   
  •   loveminds · Mar 1, 2016 · 2251 views
    This topic created in 3751 days ago, the information mentioned may be changed or developed.
    在没有经过任何鉴权的情况下能够直接进入根目录

    更严重的是, VNC 也没有任何鉴权,而且直接是root 权限执行
  • imgur
  • root
  • 搬瓦工
  • VNC
    8 replies    2016-10-09 23:51:09 +08:00
    lvii
        1
    lvii  
       Mar 1, 2016
    楼主可以开启两步认证。登录后台需要两步认证。要是 搬瓦工 被黑了。啥也不管用。
    xrui
        2
    xrui  
       Mar 1, 2016 via Android
    任何 ovz 小鸡都是这样的,只不过搬瓦工开发面板出来给你用了
    loveminds
        3
    loveminds  
    OP
       Mar 1, 2016
    @xrui 但是 Solusvm 这些,起码串行控制台是需要鉴权的
    loveminds
        4
    loveminds  
    OP
       Mar 1, 2016
    另外搬瓦工并不是都是玩具或者翻墙什么的
    搬瓦工的几个 IP 段搜到一个阿三的 ERP
    以及好几家主机商的 cPanel 登录面板
    msg7086
        5
    msg7086  
       Mar 4, 2016
    本来就不需要鉴权。你登录后台面板已经鉴权过了。账号的拥有者当然能随便看。
    Solusvm 的 Serial Console 只有远程 SSH 登录才要鉴权吧。
    Tony1ee
        6
    Tony1ee  
       Mar 8, 2016 via Android
    @loveminds 是嘛 他们都用来干嘛呢
    loveminds
        7
    loveminds  
    OP
       Oct 9, 2016
    @msg7086 后台控制面板可以类比为实体机器的 IPMI ,而正常情况下,透过 IPMI 操控服务器是需要通过鉴权的
    msg7086
        8
    msg7086  
       Oct 9, 2016 via Android
    @loveminds 能登后台面板本身就是鉴权通过。
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   5366 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 39ms · UTC 09:17 · PVG 17:17 · LAX 02:17 · JFK 05:17
    ♥ Do have faith in what you're doing.