2020-08-23 17:00-18:00左右,一位热心的群友提醒我去更新宝塔面板,有大bug,为了装有宝塔的服务器的安全,我立刻登录后台,发现有更新,2020-08-23v7.4.3版本,上面标着“紧急更新!”我立刻更新。当初觉得这应该也没多大事,然而2020-08-23 19:00,各个群都在传,情况不对了,我也就立刻发到陌罗博客群里,和这里的文章,提醒一下大家!

漏洞

此次漏洞非常容易被利用,无需鉴权即可通过特定地址访问phpmyadmin,导致一大批个人站点,和部分企业,政府机构官网被删库,陌罗博客因早就关闭888端口,故没受到影响。

更新

或者使用升级脚本(注意:优先在面板首页直接点更新,失败的情况下,才使用此命令,且不能在面板自带的SSH终端执行):

curl https://download.bt.cn/install/update_panel.sh|bash

离线下载步骤:
1、下载离线升级包:http://download.bt.cn/install/update/LinuxPanel-7.4.3.zip

2、将升级包上传到服务器中的/root目录

3、解压文件:unzip LinuxPanel-7.4.3.zip

4、切换到升级包目录:cd panel

5、执行升级脚本:bash update.sh

6、删除升级包:cd .. && rm -f LinuxPanel-7.4.3.zip && rm -rf panel

宝塔官方论坛地址(该漏洞公告):https://www.bt.cn/bbs/thread-54644-1-1.html

https://www.bt.cn/bbs/thread-54666-1-1.html

破坏计算机判刑极严,切勿以身试法

本次安全风险宝塔已经在当地公安局报备,请勿在网上传授他人使用方法以及使用这些工具破坏他人服务器,传授及操作都已经触犯刑法,
网络非法外之地,国家对于破坏计算机信息系统罪是严打的,判刑都是都比较重的,千万不要以身试法。也有部分用户受此安全风险影响,宝塔会全力配合用户固定证据,配合公安机关进行下一步侦查。有受影响的用户,或者怀疑自己受影响的用户可以直接联系宝塔,近期宝塔会加派人手跟进售后。有数据影响的自身没备份的可以联系宝塔尝试通过面板二进制日志恢复。


陌罗