This topic created in 3109 days ago, the information mentioned may be changed or developed.
在安全圈内比较火了,自己之前的博客也是用的这个框架。
相关链接: Install.php 代码分析 Typecho 事件始末 各位大佬自查一下?
Supplement 1 · Oct 27, 2017
官方解释: https://joyqi.com/typecho/about-typecho-20171027.html
应该是误会了,不过漏洞确实存在,请各位按照官方说明进行修复。
应该是误会了,不过漏洞确实存在,请各位按照官方说明进行修复。
 |
1
Sanko Oct 27, 2017 via Android
方了
|
 |
2
xiqingongzi Oct 27, 2017
|
 |
3
RobertYang Oct 27, 2017 via Android
前排吃瓜,还好没有 typecho 的站
|
 |
6
iFlicker Oct 27, 2017 via Android
正在用。。。
|
 |
7
kn007 Oct 27, 2017 via Android
唔,不用 typecho 的路过
|
 |
8
Kilerd Oct 27, 2017 via iPhone
正好找个借口换了 typecho
|
 |
9
arnofeng Oct 27, 2017
删了 install.php 就行了呗
|
 |
10
torbrowserbridge Oct 27, 2017
是此人吗,sf 创始人?
|
 |
11
blakejia Oct 27, 2017
正好找个借口换了 typecho + 1
|
 |
12
CreSim Oct 27, 2017 via Android
问一下你们换了 typecho 准备用什么呢,静态博客是真的不想用
|
 |
13
miyuki Oct 27, 2017 via Android
吃瓜
|
 |
14
trydgame Oct 27, 2017 via Android
吃瓜群众
|
 |
15
f2f2f Oct 27, 2017
国产 blog 系统真是挂的差不多了。还是老实用臃肿的 wp 吧
|
 |
16
lidasd Oct 27, 2017
吃瓜
|
 |
17
zrj766 Oct 27, 2017 via Android
typecho 一直当做记事本,搞吧搞吧,我那个笔记本站搞了没任何价值,2333,反正本地 网盘都有备份
|
 |
18
FFLY Oct 27, 2017
还好很久之前就已经不用了
|
|
19
kn007 Oct 27, 2017 via Android  1
@f2f2f 其实臃肿只是功能多,觉得用不上而已。wordpress 优化好,蛮快。( wordpress 有点像 Android,你需要折腾)
像我,感觉很多功能就能用得上,而且速度比 typecho 也没区别啊,相反我没觉得 typecho 快多少。 美国机: https://kn007.net |
 |
20
CEBBCAT Oct 27, 2017 via Android
每次梯子成批跪、安全大漏洞都有人说“还好 balabalabala ”
🤤 |
 |
21
xnotepad Oct 27, 2017
越来越懒,现在都改用静态博客系统了。发文章只要 `git push` 一下就行,方便。
|
 |
22
joyqi Oct 27, 2017 via iPhone 8
莫慌莫慌,几天前已经修复了,如果等不及正式版,可以先删掉 install.php
|
 |
24
Tink PRO 正常人安装完不会把 install.php 删了吗
|
 |
27
minbaby Oct 27, 2017
防不胜防啊, 赶紧偷偷删了 install.php
|
 |
30
junbguistar Oct 27, 2017
哇
|
|
31
torbrowserbridge Oct 27, 2017
“已经修复”,呵呵呵呵。
|
 |
32
nazor Oct 27, 2017 via iPhone
???这也太恶心了吧
|
 |
33
demo Oct 27, 2017 1
凉了,准备换掉 typecho
|
|
34
nazor Oct 27, 2017 2
"我们发现 祁宁 其实就是 joyqi,而 joyqi 是 typecho 的核心开发者,他把这段代码在 2014-04-08 写好后直接提交在了 master 中,查看 v0.9-14.5.25 的 releases,其中已经包含了这段代码,也就是说,这段代码形似后门的代码由核心开发者提交后,存在了三年半的时间,都没有任何人发现。。。。
那么究竟是谁添加的这段鸡儿用没有,但是谁都看不出来的代码呢。。。。。可能是 14 年的时候 joyqi 对账号被人黑掉了吧,也或许,这真的是开发者的一时手滑。细思恐极。" @joyqi |
 |
36
bsder Oct 27, 2017
好吓人,用过一段 typecho,还好现在不搞 blog 那套了。
|
 |
37
ScotGu Oct 27, 2017
install.php 和 install 目录 不是安装后第一时间干掉么?
|
 |
38
zgk Oct 27, 2017
方什么呢,漏洞本身并没那么容易利用啊
https://paper.seebug.org/424/ 部署的时候把运行 php-fpm 的用户独立开,配置好权限,让它只对 usr/uploads 才有写入权限,即使是 getshell 应该也不用太担心吧。 |
 |
39
Mutoo Oct 27, 2017 1
翻了下日志,还真的中招了,后门都种好了。
[26/Oct/2017:23:59:28 +1100] "POST /var/PasswordHash.php HTTP/1.1" 200 7 "https://***/" "Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)" |
 |
43
xvx Oct 27, 2017 via iPhone
当年很多人在说换 Typecho 的时候,我忍住了继续用臃肿的 WP,因为之前用 z-blog 一段时间后也是忍不住换回了 WP。
现在用自己开发的博客( django 框架)……既能装逼,又有官方维护底层框架,岂不美哉? hiahia~ |
 |
45
Noisky Oct 27, 2017
一直用的 typecho,不过既然出了漏洞,就把 install.php 改成输出一句话吧 = =
|
 |
46
ctsed Oct 27, 2017 via Android
这段代码只要你设置了正确的 referer,然后加上一个 finish 参数就可以进入到这个分支中,他会直接反序列化 cookie 中传入的一个值,然后进行一些 db 初始化操作,但是这个初始化操作实际上没有任何一丁点作用,所以这里有这段代码本身就非常奇怪
|
|
47
zgk Oct 27, 2017 1
|
|
49
zgk Oct 27, 2017
|
 |
51
echopan Oct 27, 2017
我记得我貌似没删除 install.php
|
 |
52
arcytan Oct 27, 2017
|
 |
53
VicYu Oct 27, 2017
歪个楼,看第二篇文章,看到说“鸡儿用没有”的措辞后,仔细看了看这不是阿里云牌子的公众号吗,如此措辞,不太好吧?
|
 |
54
wsy2220 Oct 27, 2017
还是自己写的放心...
|
 |
58
claysec Oct 27, 2017
```php
<?php die("404 Not found");?> ``` |
 |
59
Athrob Oct 28, 2017
强迫症也是有好处的, 安装完第一时间就把 install.php 删掉了.
|
 |
60
Trumeet Oct 28, 2017 via Android
在用 Hexo (逃跑
|
 |
61
lestat Oct 29, 2017 via iPhone
觉得 typecho 不好看,用 hexo 的路过
|
Select Language