相信宝塔面板做网站的站长基本上都知道,就在8月23日晚上最新消息
宝塔面板曝出严重数据库漏洞,官方已经发布了紧急更新的版本,站长们赶紧去更新吧!
目前官方已经给宝塔面板用户发送短信提醒升级,以及在官网发公告、QQ群通知
影响版本有:
宝塔Linux版本 7.4.2版本
宝塔Linux测试版本 7.5.14版本
宝塔Windows版 6.8版本
此次更新是为了修复 phpmyadmin未鉴权,可通过特定地址直接登陆数据库的严重Bug
目前,用户可登录面板后台,右上角点击更新,弹窗后,点击立即更新,进行更新。
其他更新方式详细到官网查看:https://www.bt.cn/bbs/thread-54666-1-1.html
这个漏洞还是挺可怕的,很简单就能进入数据库管理地址删库。
程少在23日19点第一时间看到QQ群里在讨论当时最新宝塔面板7.4.2版本有漏洞
然后在19:41也收到了宝塔官方发来的短信提示,这下意识到问题的严重性了
想着本站这台服务器正好就是这个版本,于是立马更新了 才躲过这一劫。
看到群里讨论着居然一个政府网站都被删库了,临沂工会网www.lyghw.gov.cn
看到很多人还在使用软件工具进行批量扫ip段;有辅助网 娱乐资源网数据库都被删的
还有进了代刷网查看了账号密码被盗刷金额的,真的是太可怕了 这个根本不需要你有很好的技术
只要知道对方服务器ip 并且正好这个服务器装的是这几个有漏洞的宝塔版本,端口是默认888
通过面板访问过phpMyAdmin管理地址;那么这台服务器的数据库地址你就可以随意进入操作
方法就是域名或者IP后面加上:888/pma 即可无需授权访问服务器数据库phpMyAdmin平台
这么粗暴简单的漏洞程少一开始还是不相信的,于是我把另外一台服务器特意装成7.4.2版本
大家可以尝试我的服务器这个漏洞:http://132.232.38.232:888/pma
这个服务器还有几天就到期了 里面也没啥东西,临时测试的 大家随意操作。
事情发生到现在相信大多数站长都已经更新面板修复了漏洞,如有还没升级的赶紧更新。
网络爱好者:www.wlahz.com Copyright © 2015~2020
本站资源来自互联网收集 仅供用于学习和交流 请遵循相关法律法规