震惊! 宝塔系统爆出安全漏洞-无密码直接访问数据库!!!

作者 : HF 本文共886个字,预计阅读时间需要3分钟 发布时间: 2020-08-24 共1.02K人阅读

TIME:2020/08/23

官方发布:

2020-08-23 16:38:47
Linux面板7.4.3
紧急修正一处安全风险,建议7.4.2版本的用户立即更新

2020-08-23 16:35:52
Linux面板7.5.15 测试版
紧急修正一处安全风险

2020/08/23晚上,宝塔官方给每个手机注册用户都发送了紧急通知.

漏洞版本:

Linux7.4.2版本和Windows6.8版本

安全问题:

此版本宝塔面板在部署phpmyadmin时,直接部署在http://ip:888/pma/ 路径下,且不需要验证用户名密码直接访问,对数据库安全构成严重威胁,攻击者甚至可以通过数据库获得服务器权限。

官方更新方法:

脚本在线升级:

登录面板后台,右上角点击更新,弹窗后,点击立即更新

或者使用升级脚本(注意:优先在面板首页直接点更新,失败的情况下,才使用此命令,且不能在面板自带的SSH终端执行):
curl https://download.bt.cn/install/update_panel.sh|bash

离线升级步骤:

  1. 下载离线升级包:http://download.bt.cn/install/update/LinuxPanel-7.4.3.zip
  2. 将升级包上传到服务器中的/root目录 3、解压文件:unzip LinuxPanel-7.4.3.zip
  3. 切换到升级包目录:cd panel
  4. 执行升级脚本:bash update.sh
  5. 删除升级包:cd .. && rm -f LinuxPanel-7.4.3.zip && rm -rf panel

注意:

若数据库被恶意删除,在升级面板后,若您不了解数据库恢复机制,请不要做其它操作,建议直接关机,然后找专业人士协助恢复数据
错误的操作方法,可能降低后期数据恢复概率,如需寻求数据恢复协助,请联系客服

总结建议:

每天定时备份全站数据(宝塔定时备份)
每天关注安全漏洞话题
每天关注Hpeak.cn的技术文章(这点很重要!)
数据库等敏感地址做好防火墙以及限制你的IP才可以访问

 

版权声明: 1.本网站名称:Hpeak.cn 2.本站永久网址:https://www.hpeak.cn 3.本网站的文章部分内容可能来源于网络,仅供大家学习与参考,如有侵权,请联系站长QQ2727447337进行删除处理。 4.本站一切资源不代表本站立场,并不代表本站赞同其观点和对其真实性负责。 5.本站一律禁止以任何方式发布或转载任何违法的相关信息,访客发现请向站长举报 6.本站资源大多存储在云盘,如发现链接失效,请联系我们我们会第一时间更新。
Hpeak.cn » 震惊! 宝塔系统爆出安全漏洞-无密码直接访问数据库!!!

常见问题FAQ

美化包支持最新版本吗?

发表评论