宝塔爆发安全隐患,牵动数万站长的心

2020年8月23日下午,宝塔官方收到站长反馈的漏洞,如果用户的宝塔Linux版本是7.4.2或者Windows版本是6.8的用户,数据库默认888端口没有更改的情况下,可以通过ip+:888/pma不用密码,直接访问你的数据库后台。

而这一切就是因为宝塔的数据库权限没有限制!宝塔官方在23号18点左右通过群发短信的方式,给站长们都发送了这样一条短信:

图片[1]-宝塔爆发安全隐患,牵动数万站长的心-趣玩吧-LANIN·BK 兰宁博客

看到站长群都在讨论这个事,我也特地去看了看我的宝塔版本,好巧不巧四台服务器都是7.4.2版本,所以一点也没犹豫就点击了在线更新,随后跳出一个提示:

图片[2]-宝塔爆发安全隐患,牵动数万站长的心-趣玩吧-LANIN·BK 兰宁博客

看得出来,宝塔工程师是紧急更新了这一个漏洞。我给服务器更新好以后就去群里吹水去了!

群里也是一直讨论关于宝塔安全的问题,可是慢慢的,群友讨论的方向变了。不再是催促别的群友更新,而是去扫描,去查找可以登录进去的IP。

图片[3]-宝塔爆发安全隐患,牵动数万站长的心-趣玩吧-LANIN·BK 兰宁博客

这个是群友部分公开发布的ip地址,经测试都是可以打开的。

图片[4]-宝塔爆发安全隐患,牵动数万站长的心-趣玩吧-LANIN·BK 兰宁博客

这是某个数据库被删库,还不断有人去新建在群里发出来的截图

在百度搜索摸个关键词时(就不具体说了),可以查到很多被删库的网站,主要是一些企业主体的,个人备案的网站,甚至有几个政府网站被删库,网站已经打不开了。

出于这样的情况,我作为一个站长有点话要说:对于站长而言,不要不重视安全!网站备份是基础,是绝对有必要的,即使被删库也可以随时回得来,要是没有备份一切重来,损失是真的惨重!做好备份以外,要及时关注站长群里的消息,保持不落伍。对于本次还没有更新版本的站长们,你们赶紧快去更新,顺便把数据库端口改成其他的,只要不是默认的888就行。

图片[5]-宝塔爆发安全隐患,牵动数万站长的心-趣玩吧-LANIN·BK 兰宁博客

对于个别人而言,我劝你善良,都知道去别人网站删库这是违法的事情,还前赴后继,作死去做。这样对别人来说是不可估量的损失,对你来来说也没有什么好处。做这种恶心人的事,真的有那么好玩吗?最后贴上宝塔声明最后一段给喜欢猎奇的站长:破坏计算机判刑极严,切勿以身试法!

 

© 版权声明
THE END
喜欢就支持一下吧
点赞2 分享