前言
可道云这个是一个基于PHP的方便的企业网盘管理软件,他内部带了一个功能叫做外链分享,可以用来将储存在其中的网盘的文件通过一个链接分享给他人,如下图。
但是这个功能却造成了一些文件被他人意外下载的问题(或者说是情况?),并造成了一些文件的泄露,我认为应该有别人遭跟我的遭遇一样,所以在我的博客上记录下。
如果对这篇文章有疑问或者异议的话请邮箱联系我q2019715@q2019.com ,我一般是3天之内回复。
截止到我这篇博客发布的时候,可道云的最新的版本是1.59.04
要说明我这个问题,我就要提到我的遭遇了
我可道云里的文件被搜索引擎收录
这件事情发生在去年,我的可道云中外链分享的文件被某搜索引擎给收录了,分享的部分文件都可以再某搜索中被检索并且下载到,当时的截图如下:
对于此次文件被泄露,我的解决方案如下:
1、前往对应搜索引擎的站长后台申请不收录对应域名,并申请删除之前收录的页面
2、修改了robots.txt 声明不要抓取(虽然这是一个君子协议)
后续我在可道云论坛上咨询了可道云项目组的开发者,下面是他们的回复[1]
在公网进行外链分享意味着对外是公开的,所以默认允许seo收录。如果不想被收录,可以在config/setting_user.php中添加参数进行关闭:
$config['settings']['allowSEO'] = 0;
做完这些操作,我就没有再管这些事情了,结果再前天(2025-6-22),又发生了一些事情
文件被人冒名下载并传到了别的网站
在2025-6-22的时候,我发现了我的可道云服务器被大量请求,达到了我的带宽瓶颈
在短短几个小时内达到了数十万次请求,大部分都是获取可道云文件的内容,
不仅请求了我的文件,还大量请求了相关js文件,导致超出服务器宽带上限,致使服务器中断了很长时间。
甚至把下载到的我的文件上传到别的站点,并进行付费下载,截图如下:
顺便:来自山东IP:111.16.91.49的访客:你好,请不要再尝试下载我的文件,并且盗用我的文件牟利分享牟利了!!!!谢谢。
这次的处理方法:
现在截止到发文的当天,我还在与上传网站的客服/站长联系,删除对应的文档中,现在已经在网上删除一部分了。
后续总结以及解决方案
上述的各个文件被他人恶意获取,是因为可道云的一些(不算是错误或者漏洞的)一个设定。
在一般情况下,我们会认为 访问者必须要要获取到外链的对应的链接才能获取到对应的文件,比如链接https://cloud.q2019.com/#s/_dWu4KWA 这个分享链接 ,我们必须要获得“_dWu4KWA”这个地址才能访问到对应的链接地址对应的文件,不然是无法获取到对应的文件的。
但是貌似可道云不是这么设计的,当我们分享一个文件的时候,如果没有设置密码之类的,可道云貌似会将这个文件暴露在站点地图中(疑似是/?sitemap/这个路径下暴露的)[2]对所有人可以访问,即使那个人没有获取到分享链接都可以拿到文件。
所以对于现在还在用可道云的用户,为了避免这个情况,我推荐做出如下措施:
1、尽量不要通过外链分享分享隐私内容,如果需要分享,请设置访问密码,或者设置访问限制
2、定期删除一些不再需要的外链分享文件,并且分享的时候设置分享有效期
3、(我没有尝试过)禁用可道云的搜索引擎收录(即上文中官方开发者提到的禁用了参数的方法)
备注:现在专门有人在扫描这些文件,请大家一定一定要注意!!!!
可道云是一个非常好的软件,这个问题不算是漏洞,算是一个特点,大家也可以去体验下,但是要注意下这个特点,别让自己的文件被别人给弄走了哦!
备注信息: