我试图“谷歌破解”我的网站以查看发生了什么(我最近读到了它),我用谷歌搜索了site:www.x.com intitle:"index of" "server at" + db.
并在三个目录下找到了一个.inc文件。
<?php
class clsSettings
{
var $site = "localhost";
var $sitedb = "x";
var $siteuser = "x";
var $sitepass = "x";
} /* settings */
?>
有人可以从我的服务器外部访问我的数据库吗?
我应该担心这种敏感信息暴露吗?
注意:我用 s 删除了敏感信息X。
这就是为什么您不将 PHP 文件命名为.php. 如果需要,您可以将服务器配置为解析.inc文件或任何文件扩展名,如 PHP,但这不是常见的配置,尤其是在共享服务器上。
如果您可以看到包含密码的文件内容,那么世界其他地方也可以。此外,Aziz 关于更改 robots.txt 的评论根本对您没有帮助。事实上,您可以通过这种方式提醒您注意隐藏的内容,因为任何试图进入您网站的人都不会遵守 robots.txt 中的规则。
不允许自动目录索引也很常见,除非您出于某种特定原因需要它。
我相信您通过将文件扩展名重命名为 .php 解决了这个问题。
在您的服务器上使用新密码执行此命令(即通过 SSH):
mysqladmin -u root -p 'oldpassword' password newpass
然后更改所有引用的 PHP 文件的密码。
此外,您可能想要创建一个“机器人陷阱”来阻止不遵循您的 robots.txt 文件的机器人,请参阅http://www.fleiner.com/bots/#trap了解更多信息。但是请注意,这是一个弱保护措施。
您也可以将其添加到 WWW 根目录中的 .htaccess 以停止目录列表:
Options -Indexes