宝塔面板漏洞可直接登录sql数据库,重大安全事故

重大漏洞

漏洞来源是宝塔 7.4.2版本 新增的面板鉴权访问phpmyadmin

但是 phpmyadmin没加鉴权 !!

你只要通过面板的鉴权访问过某个数据库,

其他人,哪怕没有登录过面板和数据库的,就能直接通过 IP:888/pma 直接登陆你的数据库

不需要账号密码!!

该漏洞在8月23日才被暴露出来,官方紧急更新了7.4.3版本

并且在事发后两小时多发送短信通知!
为何做不到当时发现 当时就发?短信费太贵?还是担心漏洞被利用?

【宝塔面板】紧急安全更新通知,Linux面板7.4.2版本/Windows面板6.8版本存在安全隐患,其他版本无此风险。已发布紧急更新,请所有使用此版本的用户务必升级到最新版,更新方法,登录面板直接升级更新即可,如更新出现问题,请登录宝塔论坛反馈或者联系客服反馈。

而且 7.4.2版本是7月16日发布,距今已经发布/使用一个多月!
Snipaste_2020-08-23_19-20-49.png

这期间,任何一个使用宝塔 7.4.2版本 的用户,数据库都是直接暴露在公网上的

已经有黑产用脚本在批量扫了!!!

如何查看自己是否被扫

这个漏洞只是绕过了phpmyadmin的鉴权,他删不了日志

/www/wwwlogs/access.log
搜索"服务器IP:888/”
比如
"8.8.8.8:888/"
每一行最开始 显示了哪个IP访问的,
然后剃掉你自己的IP(记不住的话,查地理位置,如果是异地就说明不是你了)

感觉很早就有人在扫了
最近一次还是8月15日

101.89.19.1xx
这个IP分几天扫了好几次

请尽快更新7.4.3版本

升级脚本

(注意:优先在面板首页直接点更新,失败的情况下,才使用此命令,且不能在面板自带的SSH终端执行):

curl https://download.bt.cn/install/update_panel.sh|bash

离线升级步骤:

1、下载离线升级包:http://download.bt.cn/install/update/LinuxPanel-7.4.3.zip
2、将升级包上传到服务器中的/root目录
3、解压文件:unzip LinuxPanel-7.4.3.zip
4、切换到升级包目录: cd panel
5、执行升级脚本:bash update.sh
6、删除升级包:cd .. && rm -f LinuxPanel-7.4.3.zip && rm -rf panel

影响

在某站长交流论坛引发广泛讨论,对使用宝塔面板的个人/企业线上生产环境产生重大的不安定因素


发表评论

邮箱地址不会被公开。 必填项已用*标注