2020宝塔后门事件!出现严重数据库未授权访问漏洞
宝塔翻车了,重大漏洞,多站被删库,刚发布紧急更新补丁!
2020年8月23日,宝塔面板被爆出严重的安全事件,这次并不是后门问题,而是数据库未授权访问漏洞,公网无需鉴权直接 root 权限进入 phpmyadmin,IP或域名地址:888/pma 可以直接进入 phpMyAdmin,导致很多网站数据库被篡改或者直接清理了数据库,可谓损失惨重!
下图为使用宝塔面板服务器软件后爆出的数据库未授权访问漏洞
下图为阿里云先知提醒:
实际原因:
phpmyadmin安全访问模块的原因,凡是在宝塔面板安装了phpmyadmin数据库管理软件,无须用户名密码即可操作数据库。
影响版本:
宝塔Linux版本 7.4.2版本
宝塔Linux测试版本 7.5.14版本
宝塔Windows版 6.8版本
紧急解决方案:
1、建议更换888端口,以及在防火墙中禁止phpmyadmin的访问权限。
2、如果怀疑自己的数据库被别人动过,可以查看/www/wwwlog下面的access.log(是不是异地IP),查看nginx的端口访问记录,如有有记录,建议恢复到昨天,或者以前版本,避免被提权。
3、更改所有密码。
4、备份,备份,备份,平时一定要做好网站数据定时备份!
附:宝塔面板重大安全漏洞事故!站长需要紧急安全更新(附方案)
php中文网提醒使用宝塔面板的站长们尽快采取安全措施阻止漏洞攻击!
7.4.2新加的安全模块导致的不鉴权直接进,像phpma这种东西,另外一款老牌知名的服务器管理软件小皮面板就考虑的非常周到,希望各大服务器集成环境软件开发者对服务器环境安全这块时刻保持敬畏之心,从技术手段尽量杜绝再次发生!
Atas ialah kandungan terperinci 2020宝塔后门事件!出现严重数据库未授权访问漏洞. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

Alat AI Hot

Undresser.AI Undress
Apl berkuasa AI untuk mencipta foto bogel yang realistik

AI Clothes Remover
Alat AI dalam talian untuk mengeluarkan pakaian daripada foto.

Undress AI Tool
Gambar buka pakaian secara percuma

Clothoff.io
Penyingkiran pakaian AI

AI Hentai Generator
Menjana ai hentai secara percuma.

Artikel Panas

Alat panas

Notepad++7.3.1
Editor kod yang mudah digunakan dan percuma

SublimeText3 versi Cina
Versi Cina, sangat mudah digunakan

Hantar Studio 13.0.1
Persekitaran pembangunan bersepadu PHP yang berkuasa

Dreamweaver CS6
Alat pembangunan web visual

SublimeText3 versi Mac
Perisian penyuntingan kod peringkat Tuhan (SublimeText3)

Topik panas

Artikel ini menyediakan panduan penyelesaian masalah untuk kemalangan panel BT. Ia menangani sebab -sebab yang sama, termasuk keletihan sumber, konflik perisian, dan isu pangkalan data. Penyelesaian terdiri daripada memeriksa sumber dan log pelayan untuk memasang semula panel bt

Artikel ini menerangkan ralat "502 Bad Gateway" dalam panel BT, menonjolkan sebab-sebab seperti beban pelayan, isu PHP-FPM, masalah pangkalan data, dan kesilapan. Langkah Penyelesaian Masalah dan Langkah Pencegahan, termasuk Monitor Server

Artikel ini membimbing pengguna untuk mengkonfigurasi peraturan firewall dalam panel BT. Butirannya menambah peraturan untuk membolehkan/menafikan lalu lintas berdasarkan alamat IP, port, dan protokol, menekankan amalan terbaik seperti keistimewaan paling kurang dan semakan tetap. Penyelesaian masalah

Artikel ini membimbing pengguna untuk mengkonfigurasi proksi terbalik dalam panel BT, meliputi persediaan, pengendalian pelbagai domain, implikasi keselamatan (manfaat & risiko), dan penyelesaian masalah. Ia memperincikan proses menubuhkan tuan rumah maya, menyatakan hulu s

Artikel ini membandingkan siaran rasmi BT Panel dan Happy Edition. Versi rasmi mengutamakan kestabilan dan keselamatan melalui sokongan khusus dan ujian yang ketat, sementara edisi gembira, garpu komuniti, menawarkan ciri -ciri yang berpotensi lebih cepat AC

Kegagalan mengikat domain panel BT berpunca daripada kesilapan DNS, kelewatan penyebaran, sekatan firewall, atau isu pelayan. Penyelesaian masalah melibatkan mengesahkan rekod DNS, menyemak penyebaran, menguji sambungan pelayan, memeriksa log panel bt

Artikel ini menerangkan cara mengkonfigurasi proksi terbalik (Nginx/Apache) dengan panel BT, yang tidak mempunyai penyelesaian terbina dalam. Ia memperincikan proses: memasang proksi, mengkonfigurasinya ke laluan trafik ke laman web panel bt, mengendalikan pelbagai domain, dan

Panel BT adalah percuma, perisian pengurusan pelayan sumber terbuka. Kos timbul daripada infrastruktur pelayan yang mendasari (VPS/Sewa pelayan khusus) yang diperlukan untuk menjalankannya, termasuk nama domain, sijil SSL, dan jalur lebar. Harga bergantung sepenuhnya pada h
