广告
XO引擎目前是免费(破解版)支持平滑模式的传奇三端引擎之一,个人感觉还是不错的,支持的功能也多一点,
不过目前已知的安全问题还是有几处的,下面说个大概解决方法,推荐每个版本都部署一遍!
一:远程删库:
通过客户端登录和注册输入相关代码会删除数据库表,
解决方法参考这个教程:https://35boke.com/7136.html
二:sql注入漏洞:
XO引擎php更新文件存在SQL注入漏洞,利用此漏洞可完全控制数据库进行一系列操作,如(刷装备,刷元宝,删账号,删数据库等等)条件允许的情况下还能获取服务器权限。
修复教程看这里:https://35boke.com/6577.html
三:远程格盘:
这个还不知道是否属于引擎漏洞造成的,大概猜测应该是木马病毒造成的
四:服务器安装防护软件:
比如火绒安全,它会拦截一些远控等操作,保护我们服务器的安全!
大概教程先写到这里,后面有了再补充!
收藏了
把小皮端口全改了和数据库端口改了在买个安全盾基本没事
扫码付款后备注你们的Q来意和买的什么对应的东西
感谢收藏了
其实就是数据库权限问题,不要用root直接访问
单独每个数据库创建一个只读或者只能读写的普通账号,每个账号互相独立,就可以做到防删了
但是刷元宝刷装备估计还是不行,因为m2需要有写入/更新权限,而客户端注入是直接通过注入代码获取角色库的账号和密码,所以你给m2什么权限,黑客就能获取到什么权限
解决办法是账号权限里给角色库和账号库指定可访问IP,如果数据库在本机就只允许本机访问,这样对方即使通过漏洞获取你的密码,远程也不能登录,但是能不能通过代码注入直接执行修改,本人存疑
php那个其实都算不上漏洞,因为php里面的账号只需要只读权限,而且内容也都是公告和服务器ip,根本没有必要搞什么防注入