宝塔面板出现重大安全漏洞 请所有用户立即升级 另外切勿以身试法
宝塔面板日前出现重大级别的安全漏洞,据网上流传的消息可通过漏洞绕过身份验证直接访问服务器中的数据库。
鉴于部分用户需要使用 phpMyadmin 面板进行管理会开启相关端口,在被黑客扫描到后即可直接破坏所有数据。
此次宝塔面板出现的重大漏洞具体细节暂时还不清楚,不过开发商堡塔安全目前已经推出新版本紧急修复该漏洞。
因此所有使用该面板的包括 Windows 和 Linux 用户均需立即升级 , 否则数据库有被黑客篡改和删除等安全风险。
据蓝点网所知目前已经有部分黑客或脚本小子利用该漏洞进行爆破,有出于删库勒索目的的也有纯粹出于好玩的。
删库勒索倒是非常常见的,数据库删除后黑客通常会留个联系方式和说明,诱导网站所有者付费以赎回数据备份。
而出于好玩目的的同样非常常见,有部分安全爱好者和脚本小子会利用脚本执行批量扫描漏洞删除数据进行炫耀。
但不论是哪种均属于破坏计算机信息系统罪会进行重判,传闻称目前已经有人因为利用此次漏洞破坏大量数据库。
其中有个别高调者因为破坏大量数据库已经被公安部门逮捕,在此也提醒大家不要出于任何目的破坏他人服务器。
对于宝塔面板用户请直接在控制面板里点击右上角更新按钮升级新版本,如果顺利的话只需数分钟即可完成升级。
若长时间无法升级或升级失败亦可使用在服务器SSH连接里升级或使用离线升级,具体方法可以参考下面的命令。
# 优先通过面板更新/若失败再使用命令更新 # 以下命令需通过服务器SSH连接/切勿在宝塔面板SSH里执行升级 curl https://download.bt.cn/install/update_panel.sh|bash # 以下方法是离线升级 下载安装包并上传到/root目录 http://download.bt.cn/install/update/LinuxPanel-7.4.3.zip2 # 解压离线安装包 unzip LinuxPanel-7.4.3.zip # 进入升级包目录 cd panel # 执行升级脚本 bash update.sh # 删除升级包 cd .. && rm -f LinuxPanel-7.4.3.zip && rm -rf panel