搬瓦工这后台感觉存在严重的安全隐患

loveminds · 发表于 2016-3-1 14:58:26

文件管理器和VNC没有任何鉴权，而且直接是root权限

bwg2.png (73.19 KB, 下载次数: 0)

bwg1.png (45.88 KB, 下载次数: 0)

流星 · 发表于 2016-3-1 15:38:44

出过什么漏洞，后来是不是都补上了？

流星 · 发表于 2016-3-1 15:26:36

内核是母机的，他可以随意修改内核，要做个控制接口应该非常容易，整个面板是他们自己研发的，安全性不用担心的。

loveminds · 发表于 2016-3-1 15:23:52

诡谲发表于 2016-3-1 15:02
也就是一玩具，你还真会放敏感数据上去啊？我是看心情就重装的主。。。 ...

也不一定，搬瓦工的几个段谷歌搜出好几个cPanel，还有个登陆页面是某商业主机商

流星 · 发表于 2016-3-1 15:22:29

loveminds 发表于 2016-3-1 15:14
更改过密码仍然可以使用

OpenVZ的内核是与母机相同的，我估计母机可以通过API控制小机，也不用担心的。

sense · 发表于 2016-3-1 15:18:58

就一扶墙工具而已。。

loveminds · 发表于 2016-3-1 15:14:51

流星发表于 2016-3-1 15:12
搬瓦工的root密码都是自动生成的，也许面板里就是直接用那个root密码的，可以试试在ssh里修改root密码， ...

更改过密码仍然可以使用

zsxx · 发表于 2016-3-1 15:14:15

流星发表于 2016-3-1 15:12
搬瓦工的root密码都是自动生成的，也许面板里就是直接用那个root密码的，可以试试在ssh里修改root密码， ...

不需要密码，宿主可以百分之百看到ovz的文件和进程

流星 · 发表于 2016-3-1 15:12:18

zzr 发表于 2016-3-1 15:03
他的意思估计是it7调用api查看系统文件不安全。。。。。不过我猜it7应该用了kiwi密码作为调用密码了。。 ...

搬瓦工的root密码都是自动生成的，也许面板里就是直接用那个root密码的，可以试试在ssh里修改root密码，看看还能不能用了

zzr · 发表于 2016-3-1 15:03:42

流星发表于 2016-3-1 15:01
难道你的KiwiVM面板密码是公开的吗？要这么说，就算没这两个功能，也不安全，VPS被人关机了，重装了怎么办 ...

他的意思估计是it7调用api查看系统文件不安全。。。。。不过我猜it7应该用了kiwi密码作为调用密码了。。。

		自动登录	找回密码
密码			注册

[Windows VPS] 搬瓦工这后台感觉存在严重的安全隐患