V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
通过以下 Referral 链接购买 DigitalOcean 主机,你将可以帮助 V2EX 持续发展
DigitalOcean - SSD Cloud Servers
loveminds
V2EX  ›  VPS

感觉搬瓦工后台存在非常严重的安全隐患

  •  
  •   loveminds · 2016-03-01 15:23:06 +08:00 · 1478 次点击
    这是一个创建于 3222 天前的主题,其中的信息可能已经有所发展或是发生改变。
    在没有经过任何鉴权的情况下能够直接进入根目录

    更严重的是, VNC 也没有任何鉴权,而且直接是root 权限执行
    8 条回复    2016-10-09 23:51:09 +08:00
    lvii
        1
    lvii  
       2016-03-01 17:35:02 +08:00
    楼主可以开启两步认证。登录后台需要两步认证。要是 搬瓦工 被黑了。啥也不管用。
    xrui
        2
    xrui  
       2016-03-01 18:24:01 +08:00 via Android
    任何 ovz 小鸡都是这样的,只不过搬瓦工开发面板出来给你用了
    loveminds
        3
    loveminds  
    OP
       2016-03-01 19:58:11 +08:00
    @xrui 但是 Solusvm 这些,起码串行控制台是需要鉴权的
    loveminds
        4
    loveminds  
    OP
       2016-03-01 20:00:26 +08:00
    另外搬瓦工并不是都是玩具或者翻墙什么的
    搬瓦工的几个 IP 段搜到一个阿三的 ERP
    以及好几家主机商的 cPanel 登录面板
    msg7086
        5
    msg7086  
       2016-03-04 01:13:49 +08:00
    本来就不需要鉴权。你登录后台面板已经鉴权过了。账号的拥有者当然能随便看。
    Solusvm 的 Serial Console 只有远程 SSH 登录才要鉴权吧。
    Tony1ee
        6
    Tony1ee  
       2016-03-08 22:43:10 +08:00 via Android
    @loveminds 是嘛 他们都用来干嘛呢
    loveminds
        7
    loveminds  
    OP
       2016-10-09 18:53:44 +08:00
    @msg7086 后台控制面板可以类比为实体机器的 IPMI ,而正常情况下,透过 IPMI 操控服务器是需要通过鉴权的
    msg7086
        8
    msg7086  
       2016-10-09 23:51:09 +08:00 via Android
    @loveminds 能登后台面板本身就是鉴权通过。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1199 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 23:22 · PVG 07:22 · LAX 15:22 · JFK 18:22
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.