新手需要帮助 这是合法的吗？

Question

这里是新手程序员，我正在尝试编辑我的 twilio 身份验证令牌，这是让我的帐户取消暂停的必要步骤，因为当我在文件中找到此内容时，有人有权访问并正在发送垃圾短信（来自亚马逊）

AWS_ACCESS_KEY_ID=AKIARVCAGCHDOPJ64U7J
AWS_SECRET_ACCESS_KEY=...
AWS_DEFAULT_REGION=us-east-2
AWS_BUCKET=kani-spicy-images
AWS_VISIBILITY=public

考虑到我没有任何 aws 帐户并且不知道这在我的应用程序中做了什么想看看它是否是应用程序的某种后门入口？以及可能是攻击者利用我的帐户发送垃圾邮件的途径？

Answer 1

当您在 cPanel 上托管时，这显然会发生。您上传了附加到代码的 env 文件，并将其留在服务器的根目录中。这是非常非法和暴露的。但这就是我想发生的事情。你的 cPanel 被黑了，暴露了 env 文件并添加了脚本，该脚本可能正在发送非法内容。

首先，更改您的 cPanel 密码，删除 AWS 变量并查看您的文件以查找意外文件。您可以将情况报告给您的提供商，如果您这样做会很有帮助。

其次，将您的公用文件夹移动到根文件夹下方并更新 bootstrap.php 文件以找到移动的公用文件夹。以这种方式保护它。

最后，我不确定是否有任何后门，但有更好的托管平台，安全且 Laravel 专用。 Forge、Fort Rabbit 等。将 Heroku 添加到列表中，但不添加 Laravel 专用托管。

在部署到生产环境时通常不包含 env 文件，但很明显，在 cPanel 上托管时您不能忽略它。