群众里面有坏人哦,昨天分享了一个SSH反向隧道,结果就被扫敏感文件了

于 2025-03-03 09:44:40 发布
阅读量257 收藏 5
点赞数 6
CC 4.0 BY-SA版权
文章标签: ssh 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_40541330/article/details/145976360

事情是这样的, 昨天我分享了一个ssh反向隧道的教程
帮助我们开发时能优雅的调试
教程如下:

《如何在本地调试代码又能在公网访问api呢?答案就是 SSH 反向隧道+nginx反向代理(适合临时测试)》

结果晚上就有好奇宝宝来扫我敏感文件了

有想拿sql的,有想看git信息的,还有想拿docker的

在这里插入图片描述

127.0.0.1 - - [03/Mar/2025 05:32:30] "GET /config.yml HTTP/1.1" 400 -
127.0.0.1 - - [03/Mar/2025 05:32:30] "GET /database.sql HTTP/1.1" 400 -
127.0.0.1 - - [03/Mar/2025 05:32:30] "GET /wp-config.php HTTP/1.1" 400 -
127.0.0.1 - - [03/Mar/2025 05:32:30] "GET /backup.tar.gz HTTP/1.1" 400 -
127.0.0.1 - - [03/Mar/2025 05:32:30] "GET /user_secrets.yml HTTP/1.1" 400 -
127.0.0.1 - - [03/Mar/2025 05:32:30] "GET /config/production.json HTTP/1.1" 400 -
127.0.0.1 - - [03/Mar/2025 05:32:30] "GET /config.php HTTP/1.1" 400 -
127.0.0.1 - - [03/Mar/2025 05:32:30] "GET /config.xml HTTP/1.1" 400 -
127.0.0.1 - - [03/Mar/2025 05:32:30] "GET / HTTP/1.1" 200 -
127.0.0.1 - - [03/Mar/2025 05:32:30] "GET /wp-admin/setup-config.php HTTP/1.1" 400 -
127.0.0.1 - - [03/Mar/2025 05:32:30] "GET /_vti_pvt/service.pwd HTTP/1.1" 4

你看看有多过分,
咱就是说, 我好心做分享, 总有手痒的兄弟想看人底裤是吧

像这个

127.0.0.1 - - [03/Mar/2025 05:32:30] "GET /wp-config.php HTTP/1.1" 400 -

咱昨天都贴图了是是python代码, 为啥还以为是wordpress呢, 扫也扫的没水平呀
凌晨五点半还在扫,真是偷鸡摸狗搞惯了是吧

在这也给新手朋友提个醒,注意隐私文件限制一下访问权限

注意网络安全!

陈钇谷
关注
博客
解决uniapp 使用uview生成小程序包太大无法上传的问题
07-23 327
本文展示了uView组件库的优化过程。原始打包方式会重复引入CSS导致包体积过大,且带有"data-v-哈希"格式难以处理。通过压缩通用CSS规则再进行引用,成功实现了优化。对比图显示,优化后的CSS文件体积显著减小,最终成功上传。这一改进解决了组件库重复引入样式导致的性能问题,为项目部署提供了更高效的解决方案。
博客
解决mac m1安装swoole报错#include “pcre2.h“ ^~~~~~~~~ 1 error generated. make: *** [ext-src/php
06-11 127
摘要:文章提供了在macOS系统上安装Swoole扩展遇到PCRE2依赖问题的解决方案。通过Homebrew安装PCRE2库,设置CPPFLAGS和LDFLAGS环境变量指向PCRE2的安装路径,再重新用pecl安装Swoole即可解决问题。该方案简洁有效,配有成功截图验证。
博客
《Python批量删除阿里云OSS文件:多线程删除与关键词过滤全解析》
06-07 620
本文详细介绍了如何使用Python批量删除阿里云OSS存储桶中的文件,针对文件名包含特定关键词的文件进行删除。通过结合分页和多线程技术,本文提供了一种高效的删除方式,能够显著提升处理速度。文章不仅包含完整的代码实现,还涵盖了错误处理、进度显示和操作确认等细节,帮助开发者安全高效地管理OSS中的文件。
博客
《Python多线程下载阿里云OSS文件实战教程:提升下载效率的最佳方案》
06-07 681
在这篇文章中,我们将深入探讨如何使用Python实现高效的阿里云OSS文件下载。通过引入分页和多线程技术,我们可以显著提高下载速度,并有效管理大量文件。本文不仅提供了完整的代码示例,还包括详细的优化技巧、下载进度实时显示及失败处理机制,帮助开发者轻松应对大规模文件下载任务。无论你是初学者还是有经验的开发者,都能从中获得实用的工具和经验。
博客
加密SaaS系统数据迁移的Python优化方案,老系统技术跑路,十多万张优惠券,五万的用户无法使用小程序,
06-03 315
客户因原SaaS系统技术方跑路导致加密代码无法修复,被迫迁移《好店会员卡》餐饮小程序的用户数据至新系统。由于两套系统数据库结构不同且均为加密状态,作者采用Python开发双服务方案进行异步数据迁移。通过优化处理逻辑(如批量100条/次提交、连接池技术、本地与云端协同),迁移效率提升显著,但整体仍为临时解决方案。当前已完成用户表核心字段的迁移框架搭建,后续还需处理兑换券及记录等数据。
博客
如何在本地调试代码又能在公网访问api呢?答案就是 SSH 反向隧道+nginx反向代理(适合临时测试)
03-02 327
在本地调试代码。然后能通过域名的方式访问api实现异地开发调试合作,以及开发微信相关内容时,需要域名配合的场景本地调试更方便debug需要准备好域名和服务器哦本次测试的api域名是 ssh.iiar.cn代码在本地运行。
博客
计划开一个程序员咖啡厅,进店的程序员通过api注册即可获得程序员认证以及1杯免费咖啡
03-02 935
桌上张贴二维码,扫码后进入文章介绍,以及展示apifox的接口地址。内容方面的构思由deepseek完成。最初的想法由陈老师构思。
博客
问deepseek,开发一个在线学python的微信小程序, 有什么功能板块建议
02-02 1444
嗯,用户想开发一个在线写Python的微信小程序,我得帮他们想想有哪些功能模块可以加进去。首先,用户可能是在做一个编程学习工具,或者是让用户能在微信里直接写代码的小程序。需要确定目标用户是谁,是学生、编程新手,还是有经验的开发者?如果是针对新手,可能需要更多的学习资源和指导功能;如果是给开发者,可能需要更高级的调试工具和代码分享功能。接下来,用户可能没有提到的深层需求是什么呢?比如,他们可能希望用户能够随时随地练习Python,而无需安装复杂的开发环境。
博客
问deepseek,如何看待ai降低学习成本而导致软件开发岗位需求降低,和工资下降。 软件从业人员何去何从?
02-02 501
软件开发正在经历从"代码生产"到"智能构建"的范式革命。从业者需以AI为杠杆,实现从"技术工人"到"数字架构师"的跃迁。建议采取"垂直领域深耕+横向能力拓展"的T型发展策略,重点培育业务抽象、系统思维、创新设计等机器难以替代的核心能力。历史的经验表明,每次技术革命在淘汰旧岗位的同时,总会创造更多高价值的新机会,关键在于能否主动拥抱变革。
博客
持续升级《在线写python》小程序的功能,文章页增加一键复制功能,并自动去掉html标签
01-21 838
页面通过getArticleAPI 获取文章数据并展示在页面上,包括文章标题、发布时间、阅读量等信息。页面提供了一个按钮,点击后可以将文章内容复制到剪贴板,并显示成功提示。文章内容中的 HTML 标签会被去除,只保留纯文本内容供复制使用。页面通过onLoad生命周期函数获取传递的参数并加载文章数据。整体来说,这段代码的主要功能是展示文章详情,并允许用户复制文章内容。
博客
升级《在线写python》小程序的分享功能。昨天忘了...
01-21 885
生命周期方法onLaunch在应用启动时调用,onShow在应用每次显示时调用,onHide在应用进入后台时调用。功能逻辑onShow中获取系统信息,如果是微信小程序平台,就显示分享按钮。样式部分:引入了公共的scss样式文件。该代码主要处理了微信小程序平台的分享功能,并确保应用在不同状态下正确响应生命周期事件。
博客
更新《在线写python》小程序的安全过滤功能,避免代码注入、文件操作、远程命令执行等攻击。
01-20 1115
上期讲到我开发了一个《在线写python》的小程序,是一款可以在线执行python的小工具,方便初学者在手机上就能写python代码的工具。之前的代码里没有过滤任何输入的内容,想了一些 会有被入侵的风险,所以对他升级了一下。在允许用户输入并执行 Python 代码之前,安全性是至关重要的,特别是在 Web 应用中。直接执行用户输入的代码可能带来严重的安全漏洞,包括代码注入、文件操作、远程命令执行等攻击。
博客
写了一个在线执行python的小工具,实现手机编写python代码后运行。
01-20 1912
run函数处理从客户端传递的 Python 代码,通过捕获其输出并返回。通过exec动态执行 Python 代码,并通过重定向stdout捕获print输出。最终的输出通过ok_res返回给客户端,包含了代码及其执行结果。
博客
用python的flask写的一个MQTT中转功能,http的方式发送数据和接收数据
12-14 1397
这种需求主要出现在那些需要实时监控、数据收集、设备控制与反馈的场景。利用MQTT协议和Flask框架实现的系统能够高效地处理设备之间的消息传递和数据流转。智能门禁与考勤系统智能安防与监控智能家居控制远程医疗健康监测工业物联网(IIoT)智慧停车与交通管理智能农业与环境监测这些场景都涉及到设备与服务器之间的高效通信、状态反馈和远程控制,且对于实时性、稳定性和可扩展性有较高的要求。
博客
踩坑记录-用python解析php Laravel8生成的jwt token一直提示 Invalid audience
10-12 248
开始少写了个参数options={"verify_aud": False}导致一直报错 Invalid audience
博客
likeshop采集商品图片无法保存解决方案
08-24 376
最终定位到问题是 app/common.php的saveImageToLocal方法。一个修复单,客户的likeshop采集tb商品后,保存到商品库的时候 主图无法显示。如果目录不存在 则自动创建目录。
博客
python使用flask实现自动根据url寻找对应目录/文件/方法,实现动态路由
08-19 1449
这段代码定义了一个 Flask 应用,它能够根据请求的 URL 路径动态导入和调用 Python 模块中的函数。通过reg_func函数,应用提供了一个统一的 JSON 响应格式,包含了状态码、响应数据、消息和调试信息。动态路由允许根据路径自动处理不同的模块和函数调用,实现灵活的接口处理。
博客
通过python脚本查询自己阿里云账号里的某个域名的A记录解析情况,以及测拨,用于排查未使用的解析
08-19 1138
这段代码用于从阿里云 DNS 服务中获取指定域名的所有 A 记录,并对每个 A 记录进行 HTTP GET 请求以验证其有效性。它首先通过阿里云 SDK 获取域名的 DNS 记录,然后对每条记录进行检查,以确定其是否有效。
博客
python flask 微信支付下单及支付结果回调处理代码笔记
06-21 947
这段代码定义了一个Flask路由,当客户端以POST请求访问时,会调用new_notify函数。函数用于生成一个长度为3的随机字符串,以增强订单号的唯一性。xcx_pay函数用于处理微信小程序支付请求,生成支付订单并返回支付参数给前端。中文解释由chatgpt协助整理。
博客
利用钉钉机器人和PHP开发一款免费的网站可用性检测工具,单节点版
06-15 494
手里有几套系统正在运维,需要保障正常运行,所以可用性检测就必不可少啦,以前本来是用的阿里官方的云监控,但现在价格感觉太贵了,不划算那就自己手搓一个简易版的监控吧。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值