今天在Discuz開(kāi)發(fā)者QQ群中，看到一些開(kāi)發(fā)者良心不安，至于原因，就是他們把以前的客戶的網(wǎng)站授權(quán)給屏蔽了，理由是客戶傳播了他們自己的商業(yè)版作品。而客戶當(dāng)時(shí)發(fā)毒誓沒(méi)有傳播，后來(lái)當(dāng)他自己看到一些社工網(wǎng)站上發(fā)布的攻擊Discuz論壇的詳細(xì)過(guò)程的時(shí)候，他發(fā)現(xiàn)自己也曾存在這樣的問(wèn)題。

其實(shí)在軟件工程里，沒(méi)有絕對(duì)完美的系統(tǒng)。而在網(wǎng)站程序或者系統(tǒng)同樣如此，就哪怕是Wordpress及Discuz這樣被大量使用的開(kāi)源程序依然存在各種問(wèn)題，更何況是我們自己寫(xiě)的一些程序。比如在烏云漏洞平臺(tái)搜索關(guān)于Discuz的漏洞就有幾百條結(jié)果。

當(dāng)然上述的漏洞基本上是一些程序上面的漏洞，這樣的漏洞的修復(fù)和發(fā)現(xiàn)都需要有一定的編程基礎(chǔ)，當(dāng)然這樣的漏洞你想利用也需要一定的基礎(chǔ)；因此這樣的問(wèn)題對(duì)于普通網(wǎng)站管理員來(lái)說(shuō)似乎有點(diǎn)太遠(yuǎn)了。

但是有很多并不是太遠(yuǎn)的東西，普通網(wǎng)站管理員也可以做到的一些事情；而且這樣的東西不完善就很容易被不速之客利用，哪怕對(duì)方是一個(gè)不懂編程的小白。比如上面說(shuō)的開(kāi)發(fā)者遇到的問(wèn)題，并不是因?yàn)镈iscuz的自身漏洞被利用了，而是他的作品給了一個(gè)演示站，然后直接開(kāi)放了最高管理員帳號(hào)給客戶登錄這個(gè)演示站做測(cè)試（為了讓客戶完全體驗(yàn)真實(shí)管理網(wǎng)站操作）。而Discuz后來(lái)可以備份數(shù)據(jù)和執(zhí)行SQL，有了這些條件哪怕是一個(gè)不懂編程的小白也進(jìn)行相應(yīng)的操作拿到這個(gè)網(wǎng)站中的作品。

而今天我要提醒大家的跟這個(gè)類似，其實(shí)也就一個(gè)習(xí)慣的問(wèn)題。很多網(wǎng)站管理員都有備份的習(xí)慣，很多時(shí)候我們都是把文件打包，習(xí)慣好的可能打包到本地或者備份服務(wù)器或者同一服務(wù)器的其他路徑。而不好的則是直接放在ftp里，甚至當(dāng)前網(wǎng)站目錄里。比如下面就是（這是我曾經(jīng)服務(wù)過(guò)的一個(gè)客戶的，當(dāng)然我們不會(huì)進(jìn)行任何操作，這里只是拿一張圖來(lái)說(shuō)明問(wèn)題）：

這樣的后果非常嚴(yán)重，現(xiàn)在網(wǎng)上就有那種掃備份包的軟件，一旦掃到網(wǎng)站目錄存在壓縮包就可以把這個(gè)壓縮包下載下來(lái)。然后這個(gè)備份里面就包含了數(shù)據(jù)庫(kù)鏈接配置（包含數(shù)據(jù)庫(kù)ip、端口、數(shù)據(jù)庫(kù)名、用戶名、密碼）等，甚至里面就已經(jīng)有了數(shù)據(jù)庫(kù)的備份。

而很多時(shí)候大家為了自己方便，通常是給對(duì)應(yīng)的數(shù)據(jù)庫(kù)用戶開(kāi)放了遠(yuǎn)程鏈接的權(quán)限（直接用root作為網(wǎng)站數(shù)據(jù)庫(kù)用戶的就更不用說(shuō)了），而這個(gè)時(shí)候直接可以用數(shù)據(jù)庫(kù)客戶端登錄數(shù)據(jù)庫(kù)，進(jìn)行數(shù)據(jù)庫(kù)的任何操作了。就算沒(méi)有開(kāi)放這個(gè)權(quán)限。很多服務(wù)器都安裝了web數(shù)據(jù)庫(kù)管理軟件（比如mysql的myphpadmin之類的），同樣可以利用軟件掃描到這樣軟件的路徑，再利用備份包里的信息就可以隨意操作數(shù)據(jù)庫(kù)了。

因此，我建議大家盡量在備份網(wǎng)站的時(shí)候留個(gè)心眼，也許一時(shí)的方便會(huì)造成你長(zhǎng)久的不方便。