linux安装宝塔的危害是:宝塔存在漏洞,并且漏洞存在于Linux7.4.2以及Windows6.8版本的宝塔程序上,攻击者可以直接通过访问网站pma的方式。直接登录数据库后台管理页面。
宝塔是默认安装phpMyAdmin(数据库管理后台)并开启了888端口。而 phpMyAdmin 没有验证用户是否;拥有访问数据库的权限,就直接对用户放行所造成的漏洞。
并且宝塔还被骇客篡改数据库,然而就是这样一个强大服务器管理系统,前段时间就因为一个漏洞上了百度的热搜榜。
漏洞爆出的当天,不少网站都遭到了骇客的光顾。数据库的数据被篡改、脱裤、甚至是删库。如果数据库用户使用的是root权限,那么网站很有可能会被直接打穿,导致服务器被 “骇客”给控制。
linux安装宝塔安全问题的设置方法是:
在服务器管理过程中,无论我们是用面板还是用一键包或者编译环境,安全问题确实是需要注意。在安全方面,除了依靠服务商,我们在安装面板之后,自己还是需要进行一些处理设置。
1、登录密码设置,一是需要设置复杂的ROOT密码或者独立一个管理用户禁用ROOT,或者采用密钥模式登入。
2、修改宝塔面板端口,默认安装后是8888端口,我们需要修改一个端口,可以是8888-65535之间的任意数值。
3、修改管理员用户名和密码,默认面板安装成功之后,管理员用户名是admin,我们需要登入后台修改用户名,以及复杂面板密码。
4、强制绑定。
昨天群友爆料,宝塔面板出现重大漏洞,存在可以通过特定地址绕过身份验证访问服务器数据库的风险,部分网站已经中招,服务器有使用宝塔linux面板 7.4.2以及宝塔windows面板 6.8版本的站长们需要紧急升级!
了解到,这次宝塔面板出现的BUG很严重,主要出现在宝塔linux面板 7.4.2以及宝塔windows面板 6.8版本,其他版本暂时安全。
据说,借助宝塔面板的这次BUG漏洞,可以直接绕过身份验证进入网站服务器的数据库,一旦被黑客盯上有可能被直接删库破坏所有数据,造成网站瘫痪,目前已经有多个网站中招,数据库被清空!
其中一个中招的站长留言表示:我他妈的忘记备份了,我这个备份的数据是8.6号的,已经隔了20多天了,而我就是这20多天每天更新了几百篇文章这些天累计上千篇文章了,数据全部没了,没记得备份,那个sb东西直接把老子数据库给清空了,我真想捶死他
随后开发商堡塔安全也紧急发布通知短信告知:Linux面板7.4. 2 版本/Windows面板6. 8 版本出现漏洞,存在数据库被黑客篡改和删除等安全隐患,官方已发布紧急更新,有使用宝塔面板Linux面板7.4. 2 版本/Windows面板6. 8 版本的站长们,赶紧登录面板后台紧急升级下,防止网站数据出现问题。
随着很多用宝塔的站长都在群里证实自己收到宝塔的升级短信,再加上官方出面发布声明,看来宝塔面板出现严重漏洞是实锤了,如果服务器有使用宝塔的站长们还是抓紧升级下,万一中招,网站被被删库或劫持就得不偿失了。
经此一役,站长们以后数据备份可要勤快点了!
来源:卢松松博客
宝塔面板安全设置,宝塔服务器被入侵漏洞安全注意事项,宝塔后台使用安全
一:面板安全说明:面板是你的服务器管理窗口,所以面板安全至关重要,千要不要嫌一点点麻烦就放任不管,下面就来说说面板需要做哪些安全设置比较稳妥
1、安装好面板后第一时间修改管理员用户名及密码
2、修改面板端口,建议使用5位端口,如:39581
3、为面板绑定一个比较复杂的三级域名,这个域名你可以真实解析,也可以通过您的家用或办公电脑中hosts过去,如:Ai80093ymdHis000.bt.cn
4、若条件允许,可以设置许可IP
5、若长期不需要登陆面板,可以将面板暂时关闭,(并不影响面板中的计划任务及守护程序)
二:系统及网络安全
1、定期检查并修复系统漏洞
2、开启防火墙,只放行要用上的端口
3、修改SSH端口
4、禁Ping
5、若你长期不需要登陆SSH,请在面板中将SSH服务关闭
6、安装悬镜、云锁、安全狗等安全软件(只安装一个)
三:网站安全
1、隐藏后台管理入口
2、除了update/cache等少数目录,其它所有目录都给只读权限
3、在nginx/apache站点配置中限制除入口目录及资源目录以外的所有目录的访问权限
4、若网站程序支持,尽量使用php5.4以上的版本
5、如非必要,不要给站点创建FTP,或使用完就删除或停用站点的FTP帐户
6、如非必要,不要对外开放3306端口,并隐藏好phpmyadmin位置,最好设个访问密码
7、尽量开启SSL(HTTPS)
8、保护好网站源码及数据库备份,请不要将数据库备份及网站源码包放在站点根目录
9、若你使用Nginx,可在面板中开启WAF防火墙,可有效防止绝大多数web攻击
图/文:迷神
国内的某些公司做着做着就喜欢动些歪脑筋,手脚总是不那么干净,居心不可谓不险恶。
几天前各大论坛贴满了关于宝塔后门搜集隐私信息的帖子,网友附上了详细的宝塔搜集信息并上传到服务器的代码和操作流程,附带搜集信息的证据。我虽然对宝塔面板无感,但是手里的也服务的客户使用了宝塔,于是上去查看了一番,果然,发送的日志位于:
/www/server/panel/logs/request
看看里面的日志,甚至把部分代码都提交给了宝塔,如果你的数据库配置文件在线修改了,而且配置文件文件比较少了话,很可能被被上传到宝塔上。
宝塔提交服务器的日志,包括服务器的一些操作日志,保存格式为:[“操作时间”, “你的 IP(非服务器 IP):1000”, “POST”, “url地址/login?”, “用户 UA”, “{}”, 39]
着实想不通宝塔收集用户操作信息到底想干嘛?属实没必要吧?有何资格收集,就因为使用你们家面板?居心又何在???
一、宝塔收集收集用户面板操作日志的部分信息.
由/class/public.py文件的 write_request_log 搜集,并保存到:/www/server/panel/logs/request/
由 /script/site_task.py ,logs_analysis的函数,定时发送到宝塔服务器部分信息:
PS:他们的证书也涉嫌获取服务器的所有域名信息。
其实,我很反感某些公司,天天就各种不安分的小手脚。修复方法也简单,可以把 相关代码注释掉。更狠点的话,可以
最后,真心建议,宝塔这样的公司和他们家的产品,该换就换,还是别用了吧!怪可怕的。
服务器为什么需要管理控制面板?
1.服务器控制面板的优势
您服务器的用途将很大程度上决定了控制面板对您的有用程度。如果您提供主机服务,您的客户自然是希望能有一个管理网站的图形界面,帮助他们轻松享用各项服务。当然,如果只有一台单一功能的服务器,平常也只使用如phpMyAdmin之类的免费工具,完全体现不了控制面板的优势,显然是没必要了。
2.服务器控制面板的成本
在您考虑控制面板时就应该知道配备一个可能需要支付一定费用。大部分控制面板都需要年付许可证。除非您购买的主机已将控制面板服务费用整合到按月支付的服务器授权的费用中。当然,免费的控制面板也是存在的,但是,这些产品的可靠性和质量水平往往令人堪忧,与商业控制面板完全没有可比性。
3.服务器控制面板乃主机业务必备
对于那些拥有过硬的服务器管理技术的人来说,有无控制面板关系不大,完全是额外的非必要的另一层消费,换句话说,他们其实不需要任何类型的控制面板。就如他们自己所说,没必要去修复本身没有坏的东西。
但是,如果您运营主机业务,可扩展性是您最为关注的点,那么就是另外一回事了。通过控制面板,完成任务会更便捷更高效。所以,对于此类用户,配备控制面板物超所值,回报远远大于投资。
友情声明:本文内容由用户自发奉献,本站文章量较多,不能保证每篇文章的绝对合法性,若您发觉违规/侵权内容,请尽快联系我们删除。