log*_*gax 5 security smtp hacking laravel
正如标题所示,我们有一个使用第三方 smtp 凭据发送电子邮件的网站,但是,我们的 smtp 凭据不断被黑客攻击并用于发送垃圾邮件,这导致我们的 smtp 帐户被暂停,我们首先使用 ses,并且然后想到我们需要添加spf,dkim和dmarc,添加后,我们转移到sendgrid,再次被黑客攻击,队友认为这是因为访问sendgrid的弱密码,但我不这么认为,因为密码测试说它很强大,需要 2000 年才能破解,我们并不真正知道问题所在,我们的网站使用 Laravel 7,黑客如何访问 .env 文件?
请帮助。
小智 3
你使用 Nginx 吗?我遇到过同样的问题。按照@PetrChloupek的提示,我分析了访问日志(/var/log/nginx/access.log),发现有时代理可以从“/.env”中获取200。事实证明,nginx 的配置是这样的,当仅使用 ip(vg 12.244.21.21 而不是“mywebsite.com”)时,恶意代理会命中 /var/www/html 而不是公共文件夹,如nginx conf 文件,因为它仅处理指定的主机 (vg"mywebsite.com")。