• 难啊难…
  • 七牛的JS SDK 的文档真坑啊.
  • 蓝奏云分享部分地区无法访问需手动修改www.lanzous.com变为:www.lanzoux.com
  • 好气啊~原来使用的CDN服务商莫名其妙的给我服务取消了~
  • 遇见一个沙雕汽车人.
  • 换了证书看看测试一下效果~
  • 煞笔!啥时候开工资?
  • 哪位小垃圾CC我呢?一位来自湖南的小垃圾!反正我流量无限的这样也没意义啊?
  • 测试一哈
  • 丫的Google抓取不到..换CF吧..

2020/08/24宝塔出现0day BUG,无需登录直接管理数据库.

新闻 KIENG 1个月前 (08-24) 10263次浏览 已收录 1个吐槽 扫描二维码

2020/08/24 宝塔出现 0day BUG,无需登录直接管理数据库.

事情脉络

大约在下午 3-4 点左右.在群里论坛等.宝塔发布了紧急更新,然后有不知名人士爆出宝塔BUG.通过某些方式.说可以无需登录直接管理数据库.

由于这次BUG过于简单.就连小学生都会使用.所以影响甚大!

有人甚至把政府网站直接给删库了.

下图来自微博

2020/08/24 宝塔出现 0day BUG,无需登录直接管理数据库.

也有人开始全网段扫库.被盗库,删库,脱裤的人大有人在!!!

7.4.2 版本已经使用了一个月.有人发现从 8 月 5 日就有人开始扫描 888 端口进行脱库.
Apache 环境本 bug 无效.本人测试不知道什么原因我另一个服务器 7.4.2 没有这个BUG,暂时只是对使用 nginx 的 7.4.2 面板部分会出现这个BUG
注:本次BUG只会影响 Linux7.4.2/Windows 6.8,请尽快更新宝塔至 7.4.3

本博客服务器也被扫了.(还有我的服务器只开了 443 和 80 端口别的都关闭了.)

截止发文时间.宝塔官网已经被挤爆了.

2020/08/24 宝塔出现 0day BUG,无需登录直接管理数据库.

宝塔官方暂时没对本次事件作出任何解释.只是在论坛发布公告说尽快升级.和对脱裤的人警告.

不知道又是哪个临时工’背锅’拉~

这次BUG是极其严重的.给用户带来不可逆的损失.不知道宝塔后续应该如果回应/赔偿使用者.

图示

图片来源于网络.

2020/08/24 宝塔出现 0day BUG,无需登录直接管理数据库.

后语

说实话我还是会继续使用宝塔的,因为给使用者确实带来了方便.但是都是相互的.有方便就是有风险.


推荐:
1.关闭无用端口,只保留自己用的,如:80,443,3306 等,其他不要随便开放.
2.备份数据.数据库建议每天或每小时备份.以免出现问题找不回来.
3.或者直接用命令安装环境,或安装其他面板:appnode,kangle,oneinstack,小皮面板(PHPstudy).

KIENG , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA 4.0协议进行授权
转载请注明出处:2020/08/24 宝塔出现 0day BUG,无需登录直接管理数据库.
本文章链接:https://blog.kieng.cn/2643.html
喜欢 (5)
KIENG
关于作者:
一个热衷网络的Man
发表我的评论
取消评论
表情 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 快速获取昵称
  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
(1)个小伙伴在吐槽
  1. 厉害
    民情网2020-08-24 13:53 回复 Windows 7 | Chrome 70.0.3538.25