宝塔面板显露重大破绽，存在可以通过特定地址绕过地位验证拜访服务器数据库的风险，部门网站已经中招，服务器有采用宝塔linux面板 742以及宝塔indos面板 68版本的站长们需要紧急升级!

了解到，这次宝塔面板显露的BUG很严重，主要显露在宝塔linux面板 742以及宝塔indos面板 68版本，其他版本暂时安全。

据说，借助宝塔面板的这次BUG破绽，可以直接绕过地位验证进入网站服务器的数据库，一旦被黑客盯上有可能被直接删库损坏所有数据，造成网站瘫痪，目前已经有多个网站中招，数据库被清空!

其中一个中招的站长留言表示：我他妈的健忘备份了，我这个备份的数据是86号的，已经隔了20多天了，而我就是这20多天每日更新了几百篇文章这些天累计上千篇文章了，数据全体没了，没记得备份，那个sb东西直接把老子数据库给清空了，我真想捶死他。

随后开发商宝塔安全也紧急发布告诉短信告知：

Linux面板74 2 版本Windos面板6 8 版本显露破绽，存在数据库被黑客篡改和删除等安全隐患，官方已发布紧急更新，有采用宝塔面板Linux面板74 2版本Windos面板6 8版本的站长们，赶紧登录面板后台紧急升级下，防范网站数据显露疑问。

昨晚8点 宝塔发布官方平台短信

一、破绽细节：

凡是在宝塔面板安装了phpmyadmin数据库控制软件

只要通过对应想法，无需用户名密码即可操纵数据库

其中888为默认端口，若自定义端口，便可能是其它端口，可以自行测试有没有该破绽

ip888pma

与此同时，宝塔官方发布了宝塔面板742的手动更换API鉴权破解想法

该破绽可以使其他人无需鉴权就能进入数据库改数据或删库

万万没想到，昨天有人拿这个破绽去入侵Gov的网站。还给Gov网站首页改了。

我就问这名黑客，你怎么不懂礼貌，你妈知道吗？

黑客要了66的红包，要不然，不将数据还给事主？

您这波操纵，66元太少了，我给你个666~~~

这一帮人还组个群，

有多嚣张，用gov网站数据库，当聊天室！！！开启聊天模式。

黑客判刑多久是法律上怎么规定的?

中国是世界上较早规定黑客有罪应当予以刑事处分的国家。近几年世界产生的事件，证实了中国法律打击黑客是正确的。在国外，因为黑客攻击日益频繁，很多国家反对黑客，要求立法制裁黑客的呼声一日高过一日。

刑法领会规定黑客有罪：

《刑法》285条规定：“违背国家规定，侵入国家事务、国防建设、尖端科学专业领域的计算机信息系统的，处三年以下有期徒刑或者拘役”。最高人民法院于1997年12月确认上述罪行的罪名为“非法侵入计算机信息系统罪”。

想说的话，用一张图表示

二、宝塔阴碍范畴

1. 宝塔 linux 面板 742

3. 宝塔 indos 面板 68

5. 安装了 phpmyadmin。（其他版本不阴碍）

6. 依据目前FOFA系统最新数据（一年内数据），显示全球范畴内（app=宝塔-Linux管理面板）共有 2,592,629 个相关服务对外开放。美国采用数目最多，共有 1,279,856 个；中国大陆第二，共有 461,268 个；中国香港第三，共有 401,294 个；南非第四，共有 238,695 个；澳大利亚第五，共有 19,850 个。中国大陆地域浙江采用数目最多，共有 93,211 个；北京第二，共有 54,557 个；广东第三，共有 14,903 个，广西第四，共有 6,492 个；江苏第五，共有 5,781 个。

   全球范畴内分布场合如下（仅为分布场合，非破绽阴碍场合）

   三、解决想法

   • 升级743即可解决，官方链接

     sbtcnbbsthread-54666-1-1

   • 通过改动 pma 配置文件，屏蔽对应端口，关闭公众拜访权限等想法也可解决。