事情脉络
大约在下午 3-4 点左右.在群里论坛等.宝塔发布了紧急更新,然后有不知名人士爆出宝塔BUG.通过某些方式.说可以无需登录直接管理数据库.
由于这次BUG过于简单.就连小学生都会使用.所以影响甚大!
有人甚至把政府网站直接给删库了.
下图来自微博
也有人开始全网段扫库.被盗库,删库,脱裤的人大有人在!!!
7.4.2 版本已经使用了一个月.有人发现从 8 月 5 日就有人开始扫描 888 端口进行脱库.
本博客服务器也被扫了.(还有我的服务器只开了 443 和 80 端口别的都关闭了.)
截止发文时间.宝塔官网已经被挤爆了.
宝塔官方暂时没对本次事件作出任何解释.只是在论坛发布公告说尽快升级.和对脱裤的人警告.
不知道又是哪个临时工'背锅'拉~
这次BUG是极其严重的.给用户带来不可逆的损失.不知道宝塔后续应该如果回应/赔偿使用者.
图示
图片来源于网络.
后语
说实话我还是会继续使用宝塔的,因为给使用者确实带来了方便.但是都是相互的.有方便就是有风险.
推荐:
1.关闭无用端口,只保留自己用的,如:80,443,3306 等,其他不要随便开放.
2.备份数据.数据库建议每天或每小时备份.以免出现问题找不回来.
3.或者直接用命令安装环境,或安装其他面板:appnode,kangle,oneinstack,小皮面板(PHPstudy).
KIENG.CN , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA 4.0协议进行授权
转载请注明出处:2020/08/24 宝塔出现 0day BUG,无需登录直接管理数据库.
本文章链接:https://blog.kieng.cn/2643.html
转载请注明出处:2020/08/24 宝塔出现 0day BUG,无需登录直接管理数据库.
本文章链接:https://blog.kieng.cn/2643.html
Windows 7 | 
Chrome 70.0.3538.25
Windows 10 | 
