自学控 - 自己建站也轻松刚才逛论坛的时候,发现这些玩jj的人群炸了。原来是宝塔出了重大漏洞。
而且今天群发了短信给用户。
【宝塔面板】紧急安全更新通知,Linux【宝塔面板】紧急安全更新通知,Linux 面板7.4.2版本/Windows面板6.8版本存在安全隐患,其他版本无此风险。已发布紧急更新,请所有使用此版本的用户务必升级到最新版,更新方法,登录面板直接升级更新即可,如更新出现问题,请登录宝塔论坛反馈或者联系客服反馈。
从发短信这种程度,你就知道这个漏洞有多危险。
那么这个漏洞到底会造成什么后果?
可以直接不用账号、密码,通过888端口直接进入你的数据库。后果是什么?别人可以直接给你删库,甚至打包数据库下载。
这个漏洞的版本涉及到有两款:宝塔Linux7.4.2版本和Windows6.8版本。也就是7月更新的这个版本。
小白我也两台vps使用了这个版本。因为之前使用的是社长的宝塔7.2开心版。结果社长跑路。(详情参考这篇文章:使用宝塔开心版面临的风险:制作者跑路,宝塔后台无法操作(附宝塔开心版5.9.2本地离线版))我又切换回了免费版,就是最近的7.4.2。
怎么排查你的宝塔是否中招?
访问:ip:888/pma
看是否能直接进入。
事例可以参考这个:http://139.155.94.223:888/pma/
小白检查过了。我的两台vps访问都显示404.
其实这个漏洞也那么可怕。它成立需要有几个条件,
1、开启过888端口(这是宝塔默认开启的,是phpmyadmin的端口)
2、你要安装过phpmyadmin数据库
3、宝塔的版本是Linux7.4.2版本和Windows6.8版本
简单自查vps是否已经被人通过漏洞进入过:
/www/wwwlogs/access.log
搜索”服务器IP:888/”
比如
“8.8.8.8:888/”
每一行最开始 显示了哪个IP访问的,
然后剃掉你自己的IP(记不住的话,查地理位置,如果是异地就说明不是你了)
有大佬分享了详细的宝塔7.4.2漏洞自查命令,如下:
面板登陆端口
cat /www/server/panel/data/port.pl
‘pma’连接日志
格式:IP 日期 返回码 路径
IP 连接的IP
连接日期
返回码 200 访问成功 404 访问失败
访问路径
cat /www/wwwlogs/access.log | awk -F ' ' '/\/pma\//{print $1,$4$5,$9,$11}'‘phpmyadmin’连接日志
格式:IP 日期 返回码 路径
IP 连接的IP
连接日期
返回码 200 访问成功 404 访问失败
访问路径
cat /www/wwwlogs/access.log | awk -F ' ' '/\/phpmyadmin/{print $1,$4$5,$9,$11}'发现中招再进一步检查数据库日志和数据库内容
本机 8888 端口是否运行服务
lsof -i:8888
本机 888 端口是否运行服务
lsof -i:888
评论前必须登录!
立即登录