起因
宝塔面板出现严重数据库漏洞,官方发布紧急安全更新。公告要求所有用户升级到最新版本,但未说明安全事件的任何信息。据了解,此次更新是为了修复phpmyadmin未鉴权,可通过特定地址直接登陆数据库的严重Bug为解决用户服务器被通过phpmyadmin提权导致的安全问题,
为解决用户服务器被通过phpmyadmin提权导致的安全问题,
Linux面板7.4.2/Windows面板6.8.0 版本中加入了phpmyadmin安全访问模块,
原理是通过面板进行访问phpmyadmin,而不是nginx/apache,
但因在目录存放时存在一个致命逻辑漏洞,导致nginx/apache也可以访问到专门给面板使用的phpmyadmin目录,在做安全审计时将重心放在面板程序中,忽略了除面板外被访问的可能,从而导致了此事件的发生.
我这辈子就没见过这么大的漏洞,数据库都能干没喽
估计宝塔要把程序员祭天了。
详情
据了解,该漏洞可以直接通过
1
ip:888/pma
来进入phpmyadmin,目前已经有很多个人网站以及政府网站受到打击,且都是在7.4.2版本。
目前有部分受打击IP如下所示:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
http://47.114.96.59:888/pma
http://47.114.98.101:888/pma
http://47.114.98.215:888/pma
http://47.114.102.153:888/pma
http://47.114.104.61:888/pma
http://47.114.104.82:888/pma
http://47.114.105.229:888/pma
http://47.114.106.82:888/pma
http://47.114.107.70:888/pma
http://47.114.107.74:888/pma
http://47.114.108.111:888/pma
http://47.114.109.13:888/pma
http://47.114.109.200:888/pma
http://47.114.109.240:888/pma
http://47.114.112.168:888/pma
http://47.114.113.178:888/pma
原理
如图为该漏洞原理
防范与应用
防范
- 更新宝塔面板
- 关闭888端口
- 有严格的安全认证
- 卸载数据库和phpmyadmin
- 使用别的面板
应用
请大家尽量不要尝试,否则警察局见。
警醒
这次事故再次印证了那句话
没有绝对安全的系统
我们在以后的路上要养成勤备份、护安全的良好习惯,不能过度相信面板。要尝试多种安全防护方式,启用端口限制功能。才能在下一次浩劫中得以存活。