一个超级低级的但令人紧张的中小网站安全问题

一个超级低级的但令人头皮发麻的中小网站安全问题

你的网站源码是怎么部署和备份的？

今天发现部署和备份网站也会留下巨大的安全隐患。

由于百度收录少，今天想看看百度爬虫来不来我的站点，于是便抽空分析一下网站日志。可是检查日志文件时却发现一系列奇怪的404错误，我发现有一个百度爬虫在不断地尝试爬取我的网站源码压缩包，甚至尝试了数百个不同的文件。

我的域名是www.sitian.top ，这个爬虫它在不停地尝试下载网站根目录下的这些文件:
sitian.top.zip
sitian.top.7z
sitian.top.tar.gz
sitian.top.bz2
sitian.top.gz
www_sitian_top.rar
www_sitian_top.zip
www_sitian_top.7z
www_sitian_top.tar.gz
Wwwroot.zip
Wwwroot.rar
Yuanma.zip
等等...

令我很疑惑的是，我的网站从未对外给出过这些文件的链接，为什么爬虫会来爬这些文件？这是一个很不正常的行为。

以我的高智商立马开始怀疑起这到底是不是真正的百度爬虫?

把对方的IP放到查IP网站上查看一下，马脚很快就露出来了，这是一个来自香港的服务器IP。

根据常识，爬国内网站内容的百度爬虫IP根本不会是香港的，很显然的，这是有人在冒充百度的爬虫。

我忽然发现这个黑客好聪明啊，不停地尝试别人网站的源码，毕竟有些马大哈不管是出于部署还是备份目的真的会直接把网站压缩包放在根目录下，而且还是不加密的，我自己就经常会这么干。

我吓得汗都出来了，赶紧检查一下网站的目录下有没有这样的源码压缩包，要是被下载去估计眼泪都要哭干。

网站的源码不光包含源码，通常还有数据库的账号密码，一旦被人获取，后果可想而知。

这真是一个很多人没想到的安全问题，低级到可怕，黑客利用这样的技术一天可以搜刮成千上万的网站。我想这个技术的成功率至少在10%以上。简单粗暴而且很高效。

网站管理员一定不能犯这样的低级错误。马上开始查一下你的网站吧。千万不要在目录里有源码的压缩包。

为何会有这样的问题? 我们很多中小网站的开发者或者维护者，经常会备份网站的源码。比如，我的域名是www.sitian.top, 使用宝塔备份的话会直接生成这样的压缩包：www.sitian.top_yHSCCs.tar.gz，但是宝塔为了安全会在文件名后面加一窜字符窜。

而有的人会图省事把文件名后面的字符串去除，然后把这个包移到网站的根目录下，然后下载, 再然后就忘记删除这个文件。