本月23號的寶塔面板安全漏洞到底是咋回事?對我有影響嗎?我該怎么處理?這篇文章告訴你答案。
數據庫已經被刪了?不要慌,仔細看看下文。
- 參考原文:詳情
聯系方式
- 需要協助報警請聯系QQ:1249648969
- 更新/面板問題聯系QQ:3007255431?800176556
- 數據庫恢復問題聯系QQ:?627622230,2320547880,750755014,517496165,940950943,2839983100
- 綜合問題聯系QQ:2320547880
- 24小時在線客服QQ:2320547880
- 務必把問題描述清楚,如果人員較多來不及請稍加等待,我們看到會第一時間處理,運維客服24小時值班。
數據庫被刪怎么處理
注意:若數據庫被惡意刪除,在升級面板后,若您不了解數據庫恢復機制,請不要做其它操作,
建議直接關機,然后找專業人士協助恢復數據,錯誤的操作方法,可能降低后期數據恢復概率,如需尋求數據恢復協助,請聯系客服
哪些版本需要更新?
- 寶塔linux 測試版本7.5.15 (安全版本)
- 寶塔linux 正式版 7.4.3 (安全版本)
此次更新為緊急安全更新,請7.4.2的用戶務必更新到最新版
怎么更新?
登錄面板后臺,右上角點擊更新,彈窗后,點擊立即更新
法律風險
破壞計算機判刑極嚴,切勿以身試法:本次安全風險我們已經在當地公安局報備,請勿在網上傳授他人使用方法以及使用這些工具破壞他人服務器,傳授及操作都已經觸犯刑法,
- 網絡非法外之地,國家對于破壞計算機信息系統罪是嚴打的,判刑都是都比較重的,千萬不要以身試法。
- 也有部分用戶受此安全風險影響,我們會全力配合用戶固定證據,配合公安機關進行下一步偵查。
- 有受影響的用戶,或者懷疑自己受影響的用戶可以直接聯系我們,近期我們會加派人手跟進售后。
- 有數據影響的自身沒備份的可以聯系我們嘗試通過面板二進制日志恢復。
事件經過
起因:
為解決用戶服務器被通過phpmyadmin提權導致的安全問題,
我們在Linux面板7.4.2/Windows面板6.8.0 版本中加入了phpmyadmin安全訪問模塊,
原理是通過面板進行訪問phpmyadmin,而不是nginx/apache,
但因在目錄存放時存在一個致命邏輯漏洞,導致nginx/apache也可以訪問到專門給面板使用的phpmyadmin目錄,
我們在做安全審計時將重心放在面板程序中,忽略了除面板外被訪問的可能,從而導致了此事件的發生.
受影響的機器:
需同時滿足以下所有條件
1、軟件版本為Linux面板7.4.2 或者Windows面板6.8.0
2、開放888且未配置http認證,
3、安裝了phpmyadmin,mysql數據庫
不受影響的機器:
只需滿足一條則不受影響
1、未開放888端口,
2、針對888端口做了嚴格的安全認證,
3、未安裝phpmyadmin,
4、未安裝mysql數據庫
5、面板版本不為Linux面板7.4.2/Windows面板6.8.0
安全更新時間及內容:
時間:2020-8-23 16:50左右
1、移除phpmyadmin安全模塊
2、刪除phpmyadmin遺留文件
3、移除fastcgi客戶端模塊中的目錄解釋功能
當前最新的安全版本為:
Linux面板7.4.3 / Windows面板6.9.0
除使用緊急修復補丁以外的其它措施:
1、第一時間通過 短信、公眾號、官網、QQ群等渠道通知用戶升級
2、在云端軟件安裝腳本中加入漏洞檢測功能,在用戶通過云端安裝軟件時,檢測發現漏洞后嘗試修復
3、通過漏洞本身,嘗試破壞利用鏈(嘗試通過phpmyadmin自身漏洞刪除config.inc.php, 僅部分Windows有效/Linux版本嘗試失敗) 2020-8-23 22:00 ~ 2020-8-24 4:00
4、通過漏洞本身,嘗試破壞利用鏈(強制修改數據庫root密碼),此方法部分服務器有效,受phpmyadmin版本和用戶配置影響 執行時間:2020-8-24 8:00 ~ 2020-8-24 9:40
5、阿里云,騰訊云等很多IDC廠商已緊急發布更新預警并采取限制端口的措施來防止漏洞被利用
