新手需要帮助 这是合法的吗?

Newbie needs help Is this Legit?

这里是新手程序员,我试图编辑我的 twilio 身份验证令牌作为取消暂停我的帐户的必要步骤,因为当我在文件中找到它时有人可以访问并且正在发送垃圾短信(来自亚马逊)

AWS_ACCESS_KEY_ID=AKIARVCAGCHDOPJ64U7J
AWS_SECRET_ACCESS_KEY=...
AWS_DEFAULT_REGION=us-east-2
AWS_BUCKET=kani-spicy-images
AWS_VISIBILITY=public

考虑到我没有任何 aws 帐户,也不知道这在我的应用程序中做了什么想看看它是否是应用程序的某种后门入口?并且可能是攻击者能够使用我的帐户发送垃圾邮件的途径?

当您在 cPanel 上托管时,这显然会发生。您上传了附加到代码的 env 文件,并将其留在服务器的根目录中。那是非常违法和暴露的。但这就是我想发生的事情。你的 cPanel 被黑了,env 文件暴露了并且添加了脚本,那个脚本可能发送了非法内容。

首先,更改您的 cPanel 密码,删除 AWS 变量并查看您的文件以查找意外文件。您可以将情况报告给您的提供者,这对您很有帮助。

其次,将您的 public 文件夹移动到根文件夹下并更新 bootstrap.php 文件以找到移动的 public 文件夹。它是这样保护的。

最后,我不确定是否有任何后门,但有更好的托管平台,安全且 Laravel 专用。 Forge、Fort Rabbit 等。将 Heroku 添加到列表中,但不添加 Laravel 专用主机。

部署到生产环境时通常不包含 env 文件,但很明显,在 cPanel 上托管时您不能忽略它。