Typecho install. PHP 中有后门

方了

@joyqi

前排吃瓜，还好没有 typecho 的站

。。。 @joyqi

@joyqi

正在用。。。

唔，不用 typecho 的路过

正好找个借口换了 typecho

删了 install.php 就行了呗

是此人吗，sf 创始人？

正好找个借口换了 typecho + 1

问一下你们换了 typecho 准备用什么呢，静态博客是真的不想用

吃瓜

吃瓜群众

国产 blog 系统真是挂的差不多了。还是老实用臃肿的 wp 吧

吃瓜

typecho 一直当做记事本，搞吧搞吧，我那个笔记本站搞了没任何价值，2333，反正本地 网盘都有备份

还好很久之前就已经不用了

@f2f2f 其实臃肿只是功能多，觉得用不上而已。wordpress 优化好，蛮快。（ wordpress 有点像 Android，你需要折腾）
像我，感觉很多功能就能用得上，而且速度比 typecho 也没区别啊，相反我没觉得 typecho 快多少。
美国机： https://kn007.net

每次梯子成批跪、安全大漏洞都有人说“还好 balabalabala ”

越来越懒，现在都改用静态博客系统了。发文章只要 `git push` 一下就行，方便。

莫慌莫慌，几天前已经修复了，如果等不及正式版，可以先删掉 install.php

@xnotepad 越来越懒，最后还是换回了 wp，操作方便。

正常人安装完不会把 install.php 删了吗

@joyqi 惊了，commit 本人

@joyqi 是作者么。。

防不胜防啊, 赶紧偷偷删了 install.php

大家都说删了 install 就行了，就没有人想问问 @joyqi 为什么会有这段代码吗？

@joyqi 1.1 正式版多久发布呀，用了开发版一段时间了。

哇

“已经修复”，呵呵呵呵。

？？？这也太恶心了吧

凉了，准备换掉 typecho

"我们发现 祁宁 其实就是 joyqi，而 joyqi 是 typecho 的核心开发者，他把这段代码在 2014-04-08 写好后直接提交在了 master 中，查看 v0.9-14.5.25 的 releases，其中已经包含了这段代码，也就是说，这段代码形似后门的代码由核心开发者提交后，存在了三年半的时间，都没有任何人发现。。。。

那么究竟是谁添加的这段鸡儿用没有，但是谁都看不出来的代码呢。。。。。可能是 14 年的时候 joyqi 对账号被人黑掉了吧，也或许，这真的是开发者的一时手滑。细思恐极。"

@joyqi

@joyqi #21 这来一句修复就好了？不准备解释点什么吗？

好吓人，用过一段 typecho，还好现在不搞 blog 那套了。

install.php 和 install 目录 不是安装后第一时间干掉么？

方什么呢，漏洞本身并没那么容易利用啊
https://paper.seebug.org/424/

部署的时候把运行 php-fpm 的用户独立开，配置好权限，让它只对 usr/uploads 才有写入权限，即使是 getshell 应该也不用太担心吧。

翻了下日志，还真的中招了，后门都种好了。

[26/Oct/2017:23:59:28 +1100] "POST /var/PasswordHash.php HTTP/1.1" 200 7 "https://***/" "Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)"

@zgk 呵呵，在你网站上搞个 shell 给大伙玩玩？

@zgk 不会有人关心你的 root 权限或者其他文件，有网站本身运行的权限，就可以拿来爆你的数据库，以及做肉机 ddos 了

@zgk 不要把漏洞分析和漏洞利用混为一谈。

当年很多人在说换 Typecho 的时候，我忍住了继续用臃肿的 WP，因为之前用 z-blog 一段时间后也是忍不住换回了 WP。
现在用自己开发的博客（ django 框架）……既能装逼，又有官方维护底层框架，岂不美哉？ hiahia~

@zgk 对后门如此宽容，是平时戴习惯原谅帽吗？

一直用的 typecho，不过既然出了漏洞，就把 install.php 改成输出一句话吧 = =

这段代码只要你设置了正确的 referer，然后加上一个 finish 参数就可以进入到这个分支中，他会直接反序列化 cookie 中传入的一个值，然后进行一些 db 初始化操作，但是这个初始化操作实际上没有任何一丁点作用，所以这里有这段代码本身就非常奇怪

@joyqi 的最新文章说明了这个问题
https://joyqi.com/typecho/about-typecho-20171027.html

@CreSim 试试 GRAV 静态的 挺好的

@ctsed
@bbsteel
可能我的表述还是有点问题，sorry，并不是说我对漏洞和后门宽容的意思，平时注意好程序的执行权限的分配，在搞清楚漏洞发生的原因还有解决方式的情况下，不需要太过于紧张吧。

我个人是十分信任 Typecho 的作者的，Typecho 也是陪伴着我入门编程和 Web 的一个程序，也比较有感情，所以我比较倾向于维护作者这边。

@hjc4869 这一点我的确没考虑清楚，我只想着文件那一块了，感谢你指出我的不足。

@zgk 看了下官方回应，还算比较可信的，看来应该是误会。

https://joyqi.com/typecho/about-typecho-20171027.html 貌似官方有解释了

歪个楼，看第二篇文章，看到说“鸡儿用没有”的措辞后，仔细看了看这不是阿里云牌子的公众号吗，如此措辞，不太好吧？

还是自己写的放心...

@lichifeng #48 感谢，GRAV 真的好棒，感觉又打开了一个新的大门，我已经决定认真研究这个 cms 然后把主站搬过去了!

@CreSim 我很喜欢这个，很 GEEK，但是它一直没在流行起来不知道为什么。大概中文资料太少了

@Kilerd 其实昨天我偷偷帮你把 install.php 删掉了..

```php
<?php die("404 Not found");?>
```

强迫症也是有好处的, 安装完第一时间就把 install.php 删掉了.

在用 Hexo （逃跑

觉得 typecho 不好看，用 hexo 的路过