【已解答】这算后门吗?

我看宝塔的日志，发现有人访问了这个地址
/.well-known/acme-challenge/xxxxxxxxx
我以为会404，但实际宝塔会返回一个可以下载的文件，而全程是不用登录的
具体是什么问题，麻烦官方排查一下

哦，我大概明白了，这个是宝塔ssl续签自动创建的网站，但为什么有这么个文件，而且外部会有人知道地址并读取，是否有风险？

宝塔用户_qnxizh 发表于 2023-5-28 12:51
哦，我大概明白了，这个是宝塔ssl续签自动创建的网站，但为什么有这么个文件，而且外部会有人知道地址并读 ...

1.     if ( $uri ~ "^/\.well-known/.*\.(php|jsp|py|js|css|lua|ts|go|zip|tar\.gz|rar|7z|sql|bak)[        DISCUZ_CODE_0        ]quot; ) {
   
2.         return 403;

复制代码

按照上面的 站点-配置文件 里的这条记录 访问这个路径会返回403 或者 404 界面的。

ssl使用 文件认证方式  就会有这个 路径及文件 ；
ssl如果是使用 DNS认证 的话，估不会生成该 路径及文件。

宝塔用户_pdxzje 发表于 2023-5-28 13:55
按照上面的 站点-配置文件 里的这条记录 访问这个路径会返回403 或者 404 界面的。

ssl使用 文件认证方 ...

您好，这个文件目录下主要用于存放ssl证书的验证文件，如果您申请证书时使用的是文件验证方式，则会自动生成这个文件用于提供CA机构验证，在证书下发之后您可以将该文件删除。