关于宝塔安全情报信息排查声明（暂无具体的风险）

堡塔开发wzz · 发表于 2020-12-28 13:25:22

zwjdujin 发表于 2020-12-28 12:32
赶紧把 NGINX 1.8 给下了吧，免得还有用户装这个。

关于nginx1.8，不放出来，别人会问。老用户有些装了1.8的，如果我们下架了他们怎么办呢？一直有显示的，但是新安装会提示不能安装，我们一直不建议安装太老的东西

WP建站 · 发表于 2020-12-28 13:50:11

防不胜防，最好的办法就是定期备份。磁盘快照备份，OSS备份，网盘备份，本地备份多重备份一起搞。。

宝塔用户_vyeclc · 发表于 2020-12-28 14:13:21

本帖最后由宝塔用户_vyeclc 于 2020-12-28 14:17 编辑

不给权限就好，本来就是高效运维的。不是让放手不管的，用了三年还没出现过什么数据丢失大事故。

waf 系统加固定期修改密码做好备份到目前为止备份还没因为服务器环境派上用场。又不是什么大事故，真的有大漏洞了官方站早就被拿下了，还能这样传播吗？出问题的都是什么都不设置的，官方已经做的做的够好了，开始就随机了个安全入口和账号密码。平时验证多麻烦点。大事故就少一些

云梦之泽 · 发表于 2020-12-28 14:32:00

咋回事，今年出这么多bug

kcer · 发表于 2020-12-28 14:32:25

不要慌，先抽根烟。防火墙。端口。什么该开的开该关的关，等待进一步确定bug。

酷小白 · 发表于 2020-12-28 15:01:42

莫飞云科技发表于 2020-12-28 12:31
干啥,啥不行出Bug第一名

你把官网拿下再来说

倾心丨WHY · 发表于 2020-12-28 15:13:53

感觉是假的啊，发帖的感觉是个小学生啊，如果是真的漏洞，早就应该被利用了

FastLight · 发表于 2020-12-28 15:15:12

对我没啥影响，我的服务器和网关之间夹了一个小型软路由，在路由里就设置了IP白名单，所有管理端口（宝塔、PMA、远程桌面、iDRAC）都是IP白名单转发，路由器本身也是证书登陆，应该说安全性还可以。

qq309629962 · 发表于 2020-12-28 15:34:19

有漏洞很正常，宝塔文件权限普遍是644.755很不规范，并不是你认为的主要文件要限制权限不一定哪个文件就出个什么幺蛾子，给我的感觉就是能用就行，理论说除了必要文件都要限制400->600->640->644,还有功能堆的越多事越多，用的人多了肯定很多黑客找漏洞，一家公司怎能与那么多黑客抗衡？

橙子酱 · 发表于 2020-12-28 18:19:10

我看了下补天报告接收范围最新正式版7.4.7面板不在接收范围内如果发现最新正式版面板的漏洞这个悬赏也会接收吗

苏晓晴 · 发表于 2020-12-28 18:27:37

橙子酱发表于 2020-12-28 18:19
我看了下补天报告接收范围最新正式版7.4.7面板不在接收范围内如果发现最新正式版面板的漏洞这个悬赏也会 ...

其实在接收范围的只是补天的悬赏没改版本而已

设计师阿简 · 发表于 2020-12-28 18:34:38

顾轩发表于 2020-12-28 12:44
这个在hostloc看到的
说的有人被删了到最后是面板是非正式版导致文件被锁了 ...

这就好玩了

zwjdujin · 发表于 2020-12-28 20:23:18

赤井秀一发表于 2020-12-28 13:25
关于nginx1.8，不放出来，别人会问。老用户有些装了1.8的，如果我们下架了他们怎么办呢？一直有显示的， ...

哈哈，这倒也是，有些人说不清！

宝塔用户_loymep · 发表于 2020-12-28 22:33:11

宝塔用户_loymep 发表于 2020-12-28 13:20
才相隔不到4个月，致命漏洞出现两次，希望官方好好排查，保住年终奖.............. ...

好的，相信官方，也相信宝塔大牛技术员们！

拉稀吧拉稀吧 · 发表于 2020-12-28 23:53:50

数据库和软件商店加二次密码功能，不行网站管理也加。图形解锁也可以，哪个省资源用哪个