宝塔发现了紧急漏洞,导致所有人都能黑进你的网站。
宝塔官方短信通知内容:
【宝塔面板】紧急安全更新通知,Linux面板7.4.2版本/Windows面板6.8版本存在安全隐患,其他版本无此风险。已发布紧急更新,请所有使用此版本的用户务必升级到最新版,更新方法,登录面板直接升级更新即可,如更新出现问题,请登录宝塔论坛反馈或者联系客服反馈。
建设网站,需要服务器,而服务器,一般需要一个管理软件来配置服务器的各种功能。服务器面板,就是这样一款软件,有了服务器面板以后,就能方便我们配置服务器的各种功能,安装php,nginx等程序,可以把面板比作服务器的第二系统。
而宝塔面板,是一款集成式的服务器面板,可视化界面,让没什么服务器使用基础的人也能很快上手服务器建站。
由于宝塔面板简单好用,功能强大,所以在国内的市场占有率中,宝塔非常高,10个网站有9个网站是使用宝塔建设的网站,果核的网站同样是使用宝塔建设。
但是就是这么一个占有率如此高的面板,在昨天8.23却爆出了安全漏洞,不需要密码就能黑进你的数据库。
同时,宝塔官方给所有绑定了手机号的用户,发送了短信,要求立马升级服务器面板版本,可见本漏洞的严重性。
随后,在各大群里面,大家都交流着宝塔漏洞的心得。有非常多的网站已经被黑,删除了所有的数据库。
本次漏洞很简单,在宝塔7.4.2版本中,默认开启了phpmyadmin免登录权限。
只要知道你网站的数据库IP地址,就然后输入IP:888/pma,即可直接访问数据库管理面板。
下图为某个政府网站的数据库,被各大网友玩坏了。
官方给出的方案是,linux版本直接升级到7.4.2版本,windows版本直接升级到6.8以上版本即可。
宝塔本次升级以后,直接给屏蔽了免登录的功能了。
如果不想升级,可以进后台删除888端口放行即可。
另外,建设网站,大家一定要养成良好的备份习惯。定时备份。艺优网络的网站是设置了定时的备份。
如果可能,数据库地址不要和网站放到同一个地址,开启宝塔自动备份功能。
不过还是提醒大家的是,网络非法外之地,谨慎行事。如果发现艺优网络有漏洞,可以直接和站长联系,直接给你重金,岂不是更爽?
