何が起こったのかを確認するために自分のサイトを「グーグルハック」しようとしていました(最近それについて読みました)site:www.x.com intitle:"index of" "server at" + db。
そして.inc、three ディレクトリにファイルが見つかりました。
<?php
class clsSettings
{
var $site = "localhost";
var $sitedb = "x";
var $siteuser = "x";
var $sitepass = "x";
} /* settings */
?>
誰かが私のサーバーの外部から私のデータベースにアクセスできますか?
この機密情報の漏洩について心配する必要がありますか?
注: s で機密情報を削除しましXた。
そのため、PHP ファイルに .xml 以外の名前を付けないでください.php。必要に応じて、ファイルまたは任意のファイル拡張子を PHP として解析するようにサーバーを構成できますが、これは特に共有サーバーでは一般的な構成ではありません。.inc
パスワードを含むファイルの内容を確認できれば、他の人も確認できます。また、robots.txt の変更に関する Aziz のコメントはまったく役に立ちません。実際、サイトにアクセスしようとする人は robots.txt 内のルールに従わないため、この方法で隠していることに注意を向けることができます。
また、特定の理由で必要でない限り、ディレクトリの自動インデックス作成を許可しないことも一般的です。
ファイル拡張子を.phpに変更して、この問題を修正したと思います。
サーバー上で(つまりSSHを介して)新しいパスワードを使用して次のコマンドを実行します。
mysqladmin -u root -p 'oldpassword' password newpass
次に、参照されているすべてのPHPファイルのパスワードを変更します。
また、robots.txtファイルに従わないボットを阻止するために「ロボットトラップ」を作成することもできます。詳細については、 http: //www.fleiner.com/bots/#trapを参照してください。ただし、これは弱い保護手段であることに注意してください。
また、これをWWWルートの.htaccessに追加して、ディレクトリリストを停止することもできます。
Options -Indexes