JoeCen's 小猫窝

今天没事看了一下awstat的统计，无意中点入到了一个反向链接。发现这居然是一个提供网站备份文件下载的网站。
里面列出了网站备份文件的链接，比如：

http://www.xxxx.com/web.rar

http://www.xxx.net/www.rar

之类的。

我很吃惊，马上找了一下上面是否有我的网站，不过却没有发现。从这个网站的介绍上，可以看出这个列表是由软件自动生成的。原理是穷举网站根目录（或者指定的子目录）下面的指定文件名。当然，它的作用并不只限于查找这些备份文件，也会查找很多sql注入或者有漏洞的代码页面。

这个网站和用的是啥软件我这里就不说了，这些东西越少人知道就越好。但对于一个网站的管理员来说，真的要避免在根目录或者比较容易被人猜到的子目录（比如“backup”）里面备份网站的文件或者sql文件。我用软件scan了半小时左右，也被我找到了一个网站的sqlserver的配置文件（里面有用户名、密码和dbname）和一个mysql的备份文件（整个数据库的备份）。拿到了这些东西，基本上就很容易对网站或bbs进行攻击了。

再次重申，千万别在你的网站根目录下做备份。

KeyWords： secure, site

发布时间： 2007-12-13 18:41
栏目： Site Log