当前位置:论坛首页 > 宝塔公告

关于Linux面板7.4.2及Windows面板6.8紧急安全更新

2020-8-23 21:05   [复制链接] 145 23124

此次更新为紧急安全更新,请Liunx版本7.4.2版本和windows版6.8版本的用户务必更新到最新版(其他版本不受影响),更新方法登录面板,首页右上角点击更新即可,如若更新失败,请尝试修复面板或者联系客服

PC端QQ如果无法搜索添加好友,请使用手机QQ添加

需要协助报警请联系QQ:1249648969 (破坏计算机信息系统罪,无论是否盈利都算是重刑)

综合问题/在线客服QQ(此通道仅处理受此影响的用户,其他用户请论坛发帖或者QQ群咨询):
   3007255431 2839983100 (09:00-18:30)   2839983100 2320547880  (18:00-24:00)
联系电话:0769-23030556(09:00-18:30)
务必把问题描述清楚,如果人员较多来不及请稍加等待,我们看到会第一时间处理。

注意:若数据库被恶意删除,在升级面板后,若您不了解数据库恢复机制,请不要做其它操作
建议直接关机,然后找专业人士协助恢复数据,
错误的操作方法,可能降低后期数据恢复概率,如需寻求数据恢复协助,请联系客服


受影响的机器:
需同时满足以下所有条件
1、软件版本为Linux面板7.4.2 或者Windows面板6.8.0
2、开放888且未配置http认证,
3、安装了phpmyadmin,mysql数据库
4、至少通过面板管理链接进入过phpmyadmin一次

自行检测漏洞方式:http://IP:888/pma
如果能直接访问phpmyadmin,则存在安全漏洞,务必第一时间修复,如有疑问,联系运维客服协助处理。


不受影响的机器:
只需满足一条则不受影响
1、未开放888端口,
2、针对888端口做了严格的安全认证,
3、未安装phpmyadmin,
4、未安装mysql数据库
5、面板版本不为Linux面板7.4.2/Windows面板6.8.0




阿里云腾讯云关于此漏洞的安全检测方案


抱歉,我们的锅,关于PMA安全风险的致歉信


宝塔面板联合补天平台,发布百万漏洞悬赏,一个洞最高奖励10W(税后)

破坏计算机判刑极严,切勿以身试法
本次安全风险我们已经在当地公安局报备,请勿在网上传授他人使用方法以及使用这些工具破坏他人服务器
传授及操作都已经触犯刑法,
网络非法外之地,国家对于破坏计算机信息系统罪是严打的,判刑都是都比较重的,千万不要以身试法。
也有部分用户受此安全风险影响,我们会全力配合用户固定证据,配合公安机关进行下一步侦查。
有受影响的用户,或者怀疑自己受影响的用户可以直接联系我们,近期我们会加派人手跟进售后。
有数据影响的自身没备份的可以联系我们尝试通过面板二进制日志恢复。




使用道具 举报 只看该作者 回复
发表于 2020-8-23 23:30:33 | 显示全部楼层
这种大事建议宝塔就直接自动更新(后期有望添加),检查到紧急更新的宝塔面板会自动更新。
可以避免通知不广等问题,减少用户损失。

以前有这功能,用户也是可以选择是否自动更新,后来就是衡量了各种原因,最后直接取消,是否再放出也会重新考虑,会特别慎重的  发表于 2020-8-26 10:33
是的,任何情况下未经授权不应随意操作客户服务器,当然了,你提前获得授权就行了,让用户自行选择。  发表于 2020-8-25 12:22
这个可以有,设置一个按钮,用户自行选择,是否开启自动更新。  发表于 2020-8-25 09:28
任何情况下都不应该不经用户同意操作用户服务器!  发表于 2020-8-24 19:13
使用道具 举报 回复 支持 7 反对 6
发表于 2020-8-24 20:21:43 | 显示全部楼层
冷心网络 发表于 2020-8-23 23:30
这种大事建议宝塔就直接自动更新(后期有望添加),检查到紧急更新的宝塔面板会自动更新。
可以避免通知不 ...

自动更新?这无异于饮鸩止渴,今天能自动更新程序,明天就能安装后门,后天就能盗取用户信息。宝塔断不会干这种蠢事。这也就是外行想当然而已~
使用道具 举报 回复 支持 4 反对 2
发表于 2020-8-24 10:24:16 | 显示全部楼层
冷心网络 发表于 2020-8-23 23:30
这种大事建议宝塔就直接自动更新(后期有望添加),检查到紧急更新的宝塔面板会自动更新。
可以避免通知不 ...

这并不是什么好的建议
使用道具 举报 回复 支持 1 反对 2
发表于 2020-8-23 22:50:07 | 显示全部楼层
宝塔地址一直打不开 怎么办
使用道具 举报 回复 支持 2 反对 1
发表于 2020-8-27 04:29:15 | 显示全部楼层
获取了mysql的root账号就可获取系统权限,然后新建系统账户或者直接把普通账户提权到root都可以,升级面板只是亡羊补牢而已,如果被提权了,或者留了其他后门,不是升级下面板就解决的。使用宝塔的多数都是新手,检查账户权限和后门这种复杂的事情基本上做不了,最稳妥的办法就是备份数据,重装系统。
使用道具 举报 回复 支持 1 反对 1
发表于 2020-8-27 02:09:04 | 显示全部楼层
安全问题谁也不想出现,但是出现了宝塔这次做的很好 这才是认真做事的厂家
使用道具 举报 回复 支持 1 反对 1
发表于 2020-8-24 21:46:36 | 显示全部楼层
冷心网络 发表于 2020-8-23 23:30
这种大事建议宝塔就直接自动更新(后期有望添加),检查到紧急更新的宝塔面板会自动更新。
可以避免通知不 ...

支持楼上!任何情况下都不应该不经用户同意操作用户服务器,包括更新!
使用道具 举报 回复 支持 1 反对 1
发表于 2020-8-24 16:22:21 | 显示全部楼层
宝塔用户_klpzkh 发表于 2020-8-23 23:08
几百万会员数据 这要是没了 只能天台见了  哎 这么低级的漏洞 官方 你们良心不会痛么 ...

难道你们数据库不备份么???我的每天一备份 保存60天.....被干了大不了,回档一天就是了
使用道具 举报 回复 支持 1 反对 1
发表于 2020-8-24 15:15:37 | 显示全部楼层
还好我的版本不是7.4.2,不更新版本就是怕版本不稳定

后期我们会拉宽正式版和测试版之间的时间跨度,尽可能所有问题在测试版里爆发,减少生产环境用户的安全威胁  发表于 2020-8-26 10:47
使用道具 举报 回复 支持 1 反对 1
发表于 2020-8-23 22:30:35 | 显示全部楼层
社长的开心版貌似都停留在742,估计要挂掉一大批了,要么转正免费版,要么老老实实的掏钱

破解终究信不过  发表于 2020-8-25 22:44
使用道具 举报 回复 支持 1 反对 1
发表于 2020-8-23 21:10:54 | 显示全部楼层
“怀疑自己受影响的用户可以直接联系我们”,如何反馈和自查日志排除风险,能否详细沟通

当下最简单的方式是找我们协助处理,后期我们再梳理更多解决类似问题的课程  发表于 2020-8-26 10:34
使用道具 举报 回复 支持 0 反对 1
发表于 2020-8-23 21:26:25 | 显示全部楼层
今天凌晨CPU和内存都是百分百,是不是这个问题?
使用道具 举报 回复 支持 1 反对 1
发表于 2020-8-23 21:32:51 | 显示全部楼层
您好,数据库被漏洞删除了,没有备份,如何联系你们恢复

所有协助渠道已在贴内  发表于 2020-8-26 10:35
使用道具 举报 回复 支持 反对
发表于 2020-8-23 21:34:40 | 显示全部楼层
仅宝塔Linux面板7.4.2,宝塔Linux面板7.5.14测试版和宝塔Windows面板6.8版本受影响,其他版本不受影响。面板版本请登录面板查看右上角。如果更新失败或者需要协助做数据恢复的联系大炮QQ2839983100,河妖QQ272656462
使用道具 举报 回复 支持 0 反对 1
发表于 2020-8-23 21:35:26 | 显示全部楼层
本帖最后由 宝塔用户_klpzkh 于 2020-8-24 00:16 编辑

数据库被删了!!!!! 怎么办 联系你们客服 没反应

部分客服可能会比较忙,您耐心等待下,一空了会第一时间处理,已暂时加派了很多开发来负责运维  发表于 2020-8-26 10:36
使用道具 举报 回复 支持 反对
发表于 2020-8-23 21:36:13 | 显示全部楼层
桥哥 发表于 2020-8-23 21:34
仅宝塔Linux面板7.4.2和宝塔Windows面板6.8这两个版本受影响,其他版本不受影响。面板版本请登录面板查看右 ...

我服务器 刚刚数据库被删了
使用道具 举报 回复 支持 反对
发表于 2020-8-23 21:40:31 | 显示全部楼层
我的服务器出现问题了,所有的运用打开不,我回复了昨天的数据备份,但是今天的数据没有了,求助?
使用道具 举报 回复 支持 反对
发表于 2020-8-23 22:07:22 | 显示全部楼层
拉风的茄子 发表于 2020-8-23 21:26
今天凌晨CPU和内存都是百分百,是不是这个问题?

我的也是这样 你的解决了没有 访问量直接翻了200倍....
使用道具 举报 回复 支持 反对
发表于 2020-8-23 22:10:39 | 显示全部楼层
宝塔用户_klpzkh 发表于 2020-8-23 13:35
数据库被删了!!!!! 怎么办 联系你们客服 没反应 我Q  911349912

大炮QQ2839983100,河妖QQ2320547880,添加备注7.4.2版本升级
使用道具 举报 回复 支持 反对
发表于 2020-8-23 22:23:33 | 显示全部楼层
支持更新。
使用道具 举报 回复
发表于 2020-8-23 22:25:39 | 显示全部楼层
你好,问一下是不是没开888端口就没有问题?
使用道具 举报 回复 支持 反对
发表于 2020-8-23 22:32:44 | 显示全部楼层
windowns 免费版 6.6.0   版本,没有影响吧?

windows受影响版本是6.8.0,Linux受影响版本是7.4.2和Linux测试版本7.5.14,其他版本不受影响。  发表于 2020-8-24 10:29
使用道具 举报 回复 支持 反对
发表于 2020-8-23 22:33:55 | 显示全部楼层
无法更新,6.8版本点击更新无反应
使用道具 举报 回复 支持 反对
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表