2020年8月23日,宝塔面板被爆出严重的安全事件:数据库未授权访问漏洞,公网无需鉴权直接 root 权限进入 phpmyadmin,IP或域名地址:888/pma 可以直接进入 phpMyAdmin,导致很多网站数据库被篡改或者直接清理了数据库,可谓损失惨重!
下图为使用宝塔面板服务器软件后爆出的数据库未授权访问漏洞
我是昨天收到阿里云通知消息提醒的,后面才收到宝塔短信通知的,收到宝塔安全漏洞的通知还是比较意外的,运维群炸了,一直在讨论数据库的丢失以及转移问题。宝塔面板数据库未授权访问漏洞,公网无需鉴权直接 root 权限进入 phpmyadmin,IP或域名地址:888/pma 可以直接进入 phpMyAdmin,导致很多网站数据库被篡改或者直接清理了数据库,可谓损失惨重!
目前宝塔官方已经给用户发送短信提醒升级,影响范围包括宝塔linux面板 7.4.2以及宝塔windows面板 6.8。宝塔官方发布紧急安全更新短信通知称,Linux面板7.4. 2 版本/Windows面板6. 8 版本存在安全隐患,官方已发布紧急更新,请所有使用此版本的用户务必升级到最新版。Linux版本7.4.2版本和测试版本7.5.14的用户更新到以下版本:宝塔linux 测试版本7.5.15 (安全版本);宝塔linux 正式版 7.4.3 (安全版本);还没更新赶紧去更新,详细操作可以参考(官方通告)。 建议大家在放行端口方面,只需要放行所需要的端口如80,443不开放其他端口,可以很大程度地提升网站的安全,建议封堵888端口。
我一直也是宝塔的用户,毕竟作为运维面板名气还是比较大的,我去用了才发现宝塔免费版本都是网页单机管理形式,没有批量运维的能力,我购买服务器都是起码几台,这时候我需要同时兼顾几台服务器的管理运维,一个个复制粘贴登陆地址感觉还是很麻烦的。
后面也是在论坛上看到别人推荐另外一款目前免费的面板云帮手(官网),云帮手是一款服务器管理软件,支持windows和linux系统,能够批量集群管理多个云服务器,不限云服务厂商、站点数量和主机数量,同时还兼容Windows、CentOS、Ubuntu、Debian、OpenSUSE、Fedora等云服务器操作系统。
而且云帮手安全防护功能可以提供端口白名单、IP 黑白名单、网络连接管控等网络安全管理功能,安全巡检功能可以及时发现系统存在的安全风险、系统漏洞,可以一键修复系统漏洞、加固系统,提高系统安全性。 目前有Windows电脑端、 Mac电脑端、 Android移动端、 Ios移动端,我用了一段时间感觉总体的功能还行吧,缺点就是软件应用的支持度还不够,WEB端还未上线,希望快点更新吧,没有用过的可以考虑去体验一下。
