宝塔重大漏洞:无需密码黑进你网站

宝塔面板被爆出严重的安全事件数据库未受权访问漏洞,公网无需鉴权直接 root 权限进入 phpmyadminIP或域名地址:888/pma 能够直接进入 phpMyAdmin,致使不少网站数据库被篡改或者直接清理了数据库,可谓损失惨重!php

下图为使用宝塔面板服务器软件后爆出的数据库未受权访问漏洞html

我是昨天收到阿里云通知消息提醒的,后面才收到宝塔短信通知的,收到宝塔安全漏洞的通知仍是比较意外的,运维群炸了,一直在讨论数据库的丢失以及转移问题。宝塔面板数据库未受权访问漏洞,公网无需鉴权直接 root 权限进入 phpmyadmin,IP或域名地址:888/pma 能够直接进入 phpMyAdmin,致使不少网站数据库被篡改或者直接清理了数据库,可谓损失惨重!linux

目前宝塔官方已经给用户发送短信提醒升级,影响范围包括宝塔linux面板 7.4.2以及宝塔windows面板 6.8。宝塔官方发布紧急安全更新短信通知称,Linux面板7.4. 2 版本/Windows面板6. 8 版本存在安全隐患,官方已发布紧急更新,请全部使用此版本的用户务必升级到最新版。Linux版本7.4.2版本和测试版本7.5.14的用户更新到如下版本:宝塔linux 测试版本7.5.15 (安全版本);宝塔linux 正式版 7.4.3 (安全版本);还没更新赶忙去更新,详细操做能够参考(官方通告)。 建议你们在放行端口方面,只须要放行所须要的端口如80,443不开放其余端口,能够很大程度地提高网站的安全,建议封堵888端口。数据库

我一直也是宝塔的用户,毕竟做为运维面板名气仍是比较大的,我去用了才发现宝塔免费版本都是网页单机管理形式,没有批量运维的能力,我购买服务器都是起码几台,这时候我须要同时兼顾几台服务器的管理运维,一个个复制粘贴登录地址感受仍是很麻烦的。windows

后面也是在论坛上看到别人推荐另一款目前免费的面板云帮手官网,云帮手是一款服务器管理软件,支持windows和linux系统,可以批量集群管理多个云服务器,不限云服务厂商、站点数量和主机数量,同时还兼容Windows、CentOS、Ubuntu、Debian、OpenSUSE、Fedora等云服务器操做系统。安全

并且云帮手安全防御功能能够提供端口白名单、IP 黑白名单、网络链接管控等网络安全管理功能,安全巡检功能能够及时发现系统存在的安全风险、系统漏洞,能够一键修复系统漏洞、加固系统,提升系统安全性。 目前有Windows电脑端、 Mac电脑端、 Android移动端、 Ios移动端,我用了一段时间感受整体的功能还行吧,缺点就是软件应用的支持度还不够,WEB端还未上线,但愿快点更新吧,没有用过的能够考虑去体验一下。服务器

ForDream:当前文章用户名 http://lowfk.com/index.php/2021/10/28/156.html:当前文章地址
THE END
分享
二维码
< <上一篇
下一篇>>