文章编号：2245 / 更新时间：2023-12-07 / 浏览：次

宝塔面板出现重大，存在可以通过特定地址绕过身份验证访问服务器数据库的风险，部分网站已经中招，服务器有使用宝塔linux面板7.4.2以及宝塔windows面板6.8版本的站长们需要紧急升级!

了解到，这次宝塔面板出现的BUG很严重，主要出现在宝塔linux面板7.4.2以及宝塔windows面板6.8版本，其他版本暂时安全。

据说，借助宝塔面板的这次BUG漏洞，可以直接绕过身份验证进入网站服务器的数据库，一旦被黑客盯上有可能被直接删库破坏所有数据，造成网站瘫痪，目前已经有多个网站中招，数据库被清空!

其中一个中招的站长留言表示：我他妈的忘记备份了，我这个备份的数据是8.6号的，已经隔了20多天了，而我就是这20多天每天更新了几百篇文章这些天累计上千篇文章了，数据全部没了，没记得备份，那个sb东西直接把老子数据库给清空了，我真想捶死他。

随后开发商宝塔安全也紧急发布通知短信告知：

昨晚8点宝塔发布官方平台短信

凡是在宝塔面板安装了phpmyadmin数据库管理软件

只要通过对应方法，无需用户名密码即可操作数据库

其中888为默认端口，若自定义端口，便可能是其它端口，可以自行测试有没有该漏洞

与此同时，宝塔官方发布了宝塔面板7.4.2的手动更改API鉴权破解方法

该漏洞可以使其他人无需鉴权就能进入数据库改数据或删库

我就问这名黑客，你怎么不懂事，你妈知道吗？

黑客要了66的红包，要不然，不将数据还给事主？

您这波操作，66元太少了，我给你个666~~~

这一帮人还组个群，

有多嚣张，用gov网站数据库，当聊天室！！！开启聊天模式。

黑客判刑多久是法律上怎么规定的?

中国是世界上较早规定黑客有罪应当予以刑事处罚的国家。近几年世界发生的事件，证明了中国法律打击黑客是正确的。在国外，由于黑客攻击日益频繁，许多国家反对黑客，要求立法制裁黑客的呼声一日高过一日。

刑法明确规定黑客有罪：

《刑法》285条规定：“违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役”。最高人民法院于1997年12月确定上述罪行的罪名为“非法侵入计算机信息系统罪”。

想说的话，用一张图表示

安装了phpmyadmin。（其他版本不影响）

根据目前FOFA系统最新数据（一年内数据），显示全球范围内（app="宝塔-Linux控制面板"）共有2,592,629个相关服务对外开放。美国使用数量最多，共有1,279,856个；中国大陆第二，共有461,268个；中国香港第三，共有401,294个；南非第四，共有238,695个；澳大利亚第五，共有19,850个。中国大陆地区浙江使用数量最多，共有93,211个；北京第二，共有54,557个；广东第三，共有14,903个，广西第四，共有6,492个；江苏第五，共有5,781个。

全球范围内分布情况如下（仅为分布情况，非漏洞影响情况）

升级7.4.3即可解决，官方链接:

通过修改pma配置文件，屏蔽对应端口，关闭公共访问权限等方法也可解决。

相关标签： 漏洞、 网络安全、 网络攻击、 蜘蛛技巧、 超级蜘蛛查、

本文地址：https://www.badfl.com/article/9636fe329f166f0b0df7.html

上一篇：灰帽SEO基础知识及操作手法核心术语汇...
下一篇：中小型企业网站模板选择思路与SEO优化技巧...