听说过 wp 的plugin 能把服务器弄坏吗？

檀香品茗

租用别人的服务器里面分出来的小空间 ！昨天坏了，人家说我们里面的wordpress 网页装了个 plugin ，把整个服务器搞坏了。

听说过吗？

hellovista

自己的wp从来没发生过这种事情，也没听说过。
不过可能性存在。

檀香品茗

hellovista 发表于 2012-1-24 09:10
自己的wp从来没发生过这种事情，也没听说过。
不过可能性存在。

為啥可能性存在？ 我不理解，我們有那麼高的權限嗎

你好世界

有可能的，一般来说是没有这么高的权限的，但是也不排除脚本使用了某种系统漏洞而拿到了最高权限，结果就会悲剧了，还是使用官方网站里的列出的plugin吧。

檀香品茗

你好世界 发表于 2012-1-24 11:56
有可能的，一般来说是没有这么高的权限的，但是也不排除脚本使用了某种系统漏洞而拿到了最高权限，结果就会 ...

行，我接受有的事實了，但是這算系統漏洞吧！！！ 真要是這個問題壞了，誰賠這個損失啊！
應該不能系統不行賴我們編程的吧？？

Venox10111

用 delicated server 经常写点插件把服务器搞坏的路过。。。

你好世界

檀香品茗 发表于 2012-1-24 15:37
行，我接受有的事實了，但是這算系統漏洞吧！！！ 真要是這個問題壞了，誰賠這個損失啊！
應該不能系統不 ...

话不能这么说，你拿到手里前时候系统是好的，到手后出现问题了，怎么说你也有一定的责任啊。

阿尔伯特

只能说是这个插件写的不好+服务器的管理员有问题，给的权限太大，既然是SHARED HOSTING就应该严格限制每个用户都只能在自己文件夹下面运行了。

流程这样的插件漏洞造成 SQL INJECTION -> WEB SHELL权限 ->提权 -> ROOT， 然后才能搞瘫痪服务器了。

如果是WINDOWS的服务器就更简单了，上面那个流程是LINUX服务器的。

阿尔伯特

用我上面的解释去跟服务器拥有者解释吧，另外，说是你的系统搞瘫痪了整个服务器，OK，SHOW ME THE SYSTEM LOG。

没有LOG凭什么说是楼主的错误呢？

有LOG，就可以看出攻击流程是如何的，然后去追究SYSTEM ADMIN的责任。

总之不是楼主的责任。