起因

宝塔面板出现严重数据库漏洞,官方发布紧急安全更新。公告要求所有用户升级到最新版本,但未说明安全事件的任何信息。据了解,此次更新是为了修复phpmyadmin未鉴权,可通过特定地址直接登陆数据库的严重Bug为解决用户服务器被通过phpmyadmin提权导致的安全问题,

为解决用户服务器被通过phpmyadmin提权导致的安全问题,
Linux面板7.4.2/Windows面板6.8.0 版本中加入了phpmyadmin安全访问模块,
原理是通过面板进行访问phpmyadmin,而不是nginx/apache,
但因在目录存放时存在一个致命逻辑漏洞,导致nginx/apache也可以访问到专门给面板使用的phpmyadmin目录,在做安全审计时将重心放在面板程序中,忽略了除面板外被访问的可能,从而导致了此事件的发生.

我这辈子就没见过这么大的漏洞,数据库都能干没喽
估计宝塔要把程序员祭天了。

详情

据了解,该漏洞可以直接通过

1
ip:888/pma

来进入phpmyadmin,目前已经有很多个人网站以及政府网站受到打击,且都是在7.4.2版本。
目前有部分受打击IP如下所示:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
http://47.114.96.59:888/pma 
http://47.114.98.101:888/pma
http://47.114.98.215:888/pma
http://47.114.102.153:888/pma
http://47.114.104.61:888/pma
http://47.114.104.82:888/pma
http://47.114.105.229:888/pma
http://47.114.106.82:888/pma
http://47.114.107.70:888/pma
http://47.114.107.74:888/pma
http://47.114.108.111:888/pma
http://47.114.109.13:888/pma
http://47.114.109.200:888/pma
http://47.114.109.240:888/pma
http://47.114.112.168:888/pma
http://47.114.113.178:888/pma

原理

漏洞原理

如图为该漏洞原理

防范与应用

防范
  • 更新宝塔面板
  • 关闭888端口
  • 有严格的安全认证
  • 卸载数据库和phpmyadmin
  • 使用别的面板
应用

请大家尽量不要尝试,否则警察局见。

警醒

这次事故再次印证了那句话

没有绝对安全的系统

我们在以后的路上要养成勤备份、护安全的良好习惯,不能过度相信面板。要尝试多种安全防护方式,启用端口限制功能。才能在下一次浩劫中得以存活。