https://i.loli.net/2020/08/24/XYEIZSjre6MahQk.png

希望数据库没事

宝塔面板漏洞

今天晚上大约7点，突然有消息爆出宝塔面板出现严重安全漏洞，影响范围巨大。

漏洞详情

凡是宝塔面板安装了phpMyAdmin数据库管理软件，只要直接访问 http://IP:888/pma （IP为源站IP地址）即可进入 phpMyAdmin后台管理界面，无需鉴权。
无需用户名和密码就能够操作数据库
无需用户名和密码就能够操作数据库
无需用户名和密码就能够操作数据库
其中888为默认数据库端口，如果自定义为其他端口，可以自行替换测试有没有该漏洞。

影响范围

Liunx版本7.4.2版本或者windows版6.8版本的用户，其他版本暂无此风险。

解决对策

1.登录面板后台，右上角点击更新，弹窗后，点击立即更新。

2.更改数据库权限为本地服务器
3.仅放行必要端口 443 80以及面板登录端口
4.服务器安全组仅放行必要端口
5.定时备份数据库
6.定期下载数据库备份至本地(如数据重要可选择网盘定时转存)

一些感想

  此次风波从晚上七点钟开始，越发酵越大，截至到我编辑这篇文章时，QQ群和Tg群关于这个漏洞的讨论就没停过。Liunx版本7.4.2版本更新已经距今38天，所以漏洞不是今天才有的，是一直存在，今天爆发的。早几日前就有大佬爆出这个漏洞，但一直没有引起广泛注意，我也是今天看到消息才意识到问题的严重性，看到后立即更新了7.4.3版本，半个小时后收到官方的通知短信(短信来的是不是有点晚？)。
  此次事件宝塔毫无疑问负全部责任，用户出于图方便和信赖选择使用宝塔面板，宝塔却在一个多月的时间内没有及时发现漏洞，导致一批网站的数据库被别有用心的人删掉，若无备份损失将无法弥补。
  我亲眼看见“不嫌事大”的网友将两个gov.cn网站的数据库删除，并有一批吃瓜网友前去“合影”。
图为某gov.cn后台数据库被“洗劫一空”后的样子。
我也看见有人第一时间扫描IP段，写脚本去删有此漏洞的数据库。
我还看见有人在数据库里联系管理员帮他备份。

  本次安全风险我们已经在当地公安局报备，请勿在网上传授他人使用方法以及使用这些工具破坏他人服务器，传授及操作都已经触犯刑法。网络非法外之地，国家对于破坏计算机信息系统罪是严打的，判刑都是都比较重的，千万不要以身试法——宝塔通告

  在QQ群里，两个老哥辛辛苦苦写了几个月的博客被删，没有备份，全部的心血付诸东流，这样的例子应该还有很多。宝塔的疏忽、无良网民利用漏洞，再加上网站管理者对服务器安全缺乏了解，一起构成了这起悲剧。
「亡羊补牢，未为迟也」快去检查你的服务器安全配置吧。