宝塔面板显露重大破绽,存在可以通过特定地址绕过地位验证拜访服务器数据库的风险,部门网站已经中招,服务器有采用宝塔linux面板 742以及宝塔indos面板 68版本的站长们需要紧急升级!
了解到,这次宝塔面板显露的BUG很严重,主要显露在宝塔linux面板 742以及宝塔indos面板 68版本,其他版本暂时安全。
据说,借助宝塔面板的这次BUG破绽,可以直接绕过地位验证进入网站服务器的数据库,一旦被黑客盯上有可能被直接删库损坏所有数据,造成网站瘫痪,目前已经有多个网站中招,数据库被清空!
其中一个中招的站长留言表示:我他妈的健忘备份了,我这个备份的数据是86号的,已经隔了20多天了,而我就是这20多天每日更新了几百篇文章这些天累计上千篇文章了,数据全体没了,没记得备份,那个sb东西直接把老子数据库给清空了,我真想捶死他。
随后开发商宝塔安全也紧急发布告诉短信告知:
Linux面板74 2 版本Windos面板6 8 版本显露破绽,存在数据库被黑客篡改和删除等安全隐患,官方已发布紧急更新,有采用宝塔面板Linux面板74 2版本Windos面板6 8版本的站长们,赶紧登录面板后台紧急升级下,防范网站数据显露疑问。
昨晚8点 宝塔发布官方平台短信 凡是在宝塔面板安装了phpmyadmin数据库控制软件 只要通过对应想法,无需用户名密码即可操纵数据库 其中888为默认端口,若自定义端口,便可能是其它端口,可以自行测试有没有该破绽 ip888pma 与此同时,宝塔官方发布了宝塔面板742的手动更换API鉴权破解想法 该破绽可以使其他人无需鉴权就能进入数据库改数据或删库 万万没想到,昨天有人拿这个破绽去入侵Gov的网站。还给Gov网站首页改了。 我就问这名黑客,你怎么不懂礼貌,你妈知道吗? 黑客要了66的红包,要不然,不将数据还给事主? 您这波操纵,66元太少了,我给你个666~~~ 这一帮人还组个群, 有多嚣张,用gov网站数据库,当聊天室!!!开启聊天模式。 黑客判刑多久是法律上怎么规定的? 中国是世界上较早规定黑客有罪应当予以刑事处分的国家。近几年世界产生的事件,证实了中国法律打击黑客是正确的。在国外,因为黑客攻击日益频繁,很多国家反对黑客,要求立法制裁黑客的呼声一日高过一日。 刑法领会规定黑客有罪: 《刑法》285条规定:“违背国家规定,侵入国家事务、国防建设、尖端科学专业领域的计算机信息系统的,处三年以下有期徒刑或者拘役”。最高人民法院于1997年12月确认上述罪行的罪名为“非法侵入计算机信息系统罪”。 想说的话,用一张图表示 宝塔 linux 面板 742 宝塔 indos 面板 68 安装了 phpmyadmin。(其他版本不阴碍) 依据目前FOFA系统最新数据(一年内数据),显示全球范畴内(app=宝塔-Linux管理面板)共有 2,592,629 个相关服务对外开放。美国采用数目最多,共有 1,279,856 个;中国大陆第二,共有 461,268 个;中国香港第三,共有 401,294 个;南非第四,共有 238,695 个;澳大利亚第五,共有 19,850 个。中国大陆地域浙江采用数目最多,共有 93,211 个;北京第二,共有 54,557 个;广东第三,共有 14,903 个,广西第四,共有 6,492 个;江苏第五,共有 5,781 个。 全球范畴内分布场合如下(仅为分布场合,非破绽阴碍场合) 升级743即可解决,官方链接 sbtcnbbsthread-54666-1-1 通过改动 pma 配置文件,屏蔽对应端口,关闭公众拜访权限等想法也可解决。一、破绽细节:
二、宝塔阴碍范畴
三、解决想法