.htaccess
今早看自己博客的时候,根目录发现了一个.htaccess文件
2025年05月16日
今早看自己博客的时候,根目录发现了一个.htaccess文件
我用的Nginx怎么会有这个文件呢,网上查了一下是Apache专属的文件。提供伪静态规则的,标准格式应该是这样的
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_FILENAME} !-f
RewriteRule ^(.*)$ index.php/$1 [QSA,PT,L]
</IfModule>
不过我这个文件貌似不太一样,多了一行这个
<FilesMatch "pox">
SetHandler application/x-httpd-php
</FilesMatch>
居然是一个解析规则,把pox文件当做php执行。吓得俺立马搜索目录里的pox文件,果然在
找到了它,里面是一个一句话,通过解析规则来进行后门控制,使用Apache的需要自己排查一下了。
我这个应该是editor上传的时候目录可控,导致上传了个.htaccess文件,不过因为nginx的原因,并不能是解析规则生效,幸免一难啊!