前几天宝塔面板爆出了一个严重的漏洞,听说可以不需要任何权限就访问数据库。宝塔团队也在第一时间给出了升级方法,升级之后就可以解决这个漏洞,所以我们需要抓紧时间升级。当然,宝塔应该已经在第一时间把通知发到了各个用户的手机上以及邮箱里,所以大家应该早就进行了升级才对。由于之前推荐的教程基本都是以 LNMP 一键包为主的,所以对于宝塔的这个漏洞不是很上心。但是想到还是会有朋友安装使用了宝塔,所以在此提醒大家尽快升级。本文附上宝塔 7.4.2 升级教程,大家抓紧时间升级到最新的面板。
首先判断一下我们的机器是否受影响,可以参考官方给出的判断:
受影响的机器,需同时满足以下所有条件:
- 软件版本为 Linux 面板 7.4.2 或者 Windows 面板 6.8.0
- 开放 888 且未配置 http 认证
- 安装了 phpmyadmin,MySQL 数据库
不受影响的机器,只需满足一条则不受影响:
- 未开放 888 端口
- 针对 888 端口做了严格的安全认证
- 未安装 phpmyadmin
- 未安装 MySQL 数据库
- 面板版本不为 Linux 面板 7.4.2 / Windows 面板 6.8.0
如果我们确认机器是受影响的,那么继续往下看,并尽快进行升级操作。
一、宝塔面板在线升级教程
需要紧急升级的宝塔面板版本号:
- Linux 版本 7.4.2 版本和测试版本 7.5.14
- Windows 版本 6.8
先介绍对于 Linux 版本的升级方法。
方法一:登陆宝塔面板后台,右上角可以看到更新按钮,如图所示。
然后就可以进行更新。
方法二:
使用升级脚本(注意:优先在面板首页直接点更新,失败的情况下,才使用此命令,且不能在面板自带的 SSH 终端执行):
curl https://download.bt.cn/install/update_panel.sh|bash
二、宝塔面板离线升级教程
离线升级方法如下,虽然感觉并不一定用得到。
- 下载离线升级包:http://download.bt.cn/install/update/LinuxPanel-7.4.3.zip
- 将升级包上传到服务器中的 /root 目录
- 解压文件:
unzip LinuxPanel-7.4.3.zip
- 切换到升级包目录:
cd panel
- 执行升级脚本:
bash update.sh
- 删除升级包:
cd .. && rm -f LinuxPanel-7.4.3.zip && rm -rf panel
总之,还是希望大家尽快升级。
三、宝塔面板 Windows 版升级教程
如果你使用的是 Windows 版本,登陆管理后台,然后使用上面的在线升级的方法一进行升级即可,如图所示。
以上方法参考:https://www.bt.cn/bbs/thread-54666-1-1.html
四、宝塔面板建站安全建议
1、如果你的数据库被人恶意删除,或者有数据丢失,那么建议如果不是专业选手不要轻举妄动,寻求专业选手的帮助是最好的选择。或者可以联系宝塔团队帮助恢复。联系方式参考上方的链接。
2、修改所有数据库密码、网站密码等密码。并且如果你在其他地方使用的用户名、密码和宝塔面板的一样,那么其他地方的密码也建议尽快修改。密码建议尽量使用复杂的,越复杂越好,最好复杂的自己都记不住的那种。
3、如果网站有用户,通知用户修改账户密码等信息。
4、多备份数据库和网站文件,毕竟数据是网站的生命,多备份总没错的,一旦遇到这样的情况,有备份我们就不会慌。
5、定期修改网站和数据库等的密码,原则同上,越复杂越好。
6、后期尽可能使用无面板的建站环境,比如 LNMP 或者 LAMP 一键包。没有面板的环境需要涉及交互的地方就少,出现漏洞的频率也会更低。
安全无小事,大家各方面都需要多注意,不过一般来说设置一个超级复杂的密码就足够应付大多数情况。
五、堡塔免费组队活动,用APP就能管理服务器,组队可送3年APP插件,不拿白不拿,现在就来组队吧。
点此直达组队活动