#12.28#关于网络流传的此次宝塔面板安全漏洞提醒

#12.28#关于网络流传的此次宝塔面板安全漏洞提醒

官方跟进相关记录摘抄:

10:15分我们已收到一些相关的情报信息,已安排同事跟进排查


12:10分,我们负责安全的同事以及联系了相关做安全的朋友,目前没有收到一个具体的关于本次安全情况的相关资料,当前还在跟进中!!


14:01分根据现有所有汇聚的线索,详细排查后没有找到具体的漏洞,补天百万悬赏漏洞活动依然也没人提交,抱着对用户负责任的态度,我们依然还在持续跟进这条情报,所有信息以我们论坛更新为主。

19:45分,根据现有所有汇聚线索,我们安全技术深入排查,没有找到具体的漏洞,补天等漏洞平台,依然没人提交。我们继续持续跟进。

宝塔官方公告原文链接 https://www.bt.cn/bbs/thread-61706-1-1.html


 

以下是历史消息!!具体以官方通告为准!!!

官方又改了公告,现在变成了“我们的建议是当下暂时什么都不用做,关注官方信息即可”

以下是漏洞问题:

白帽子发现的,Windows版本,或者linux版本安装过插件,可以直接进后台!!!官方正在查找,不确定什么时候能更新。为了安全,先关闭面板吧。记得备份!!!!!!

宝塔官方目前正在全力排查是否存在重大安全漏洞,如有发现会第一时间更新修复并通知所有面板用户!但是,还是建议先关闭面板服务!


如何关闭面板服务?

1、面板设置一些安全措施如更换端口限定IP访问

2、备份好数据库及站点数据

3、或直接进入ssh执行以下命令关闭面板(关闭面板不影响网站服务)

1、停止面板脚本:

bt stop

2、启动面板脚本:

bt start

3、关闭面板服务器截图

可以用xshell连接到你的服务器,然后执行关闭命令。

xshell使用教程:https://vpship.com/134.html

#12.28#关于网络流传的此次宝塔面板安全漏洞提醒

4、最后

同时还看到有一个nignx1.8的漏洞(这是Nginx软件本来的漏洞),正在查验中,但是Nginx1.8已经是很久之前的版本,Nginx官方已经是停止更新,有漏洞是正常的。而现在我们宝塔面板最新的两个版本已经是官方的1.18.1稳定版跟1.19.6开发版,建议所有nginx用户选择这两个版本,如果安装了Nginx1.8版本的用户,请卸载1.8版本安装新的版本。

官方原文:https://www.bt.cn/bbs/thread-61706-1-1.html

 

宝塔面板防护-仅供参考

1.宝塔用的是UFW控制防火墙。安装好nginx后随便域名‘防呆’ 8888端口。防火墙就不用留着8888端口了。自然不露公网。


2.nginx都会‘防呆’了。域名-设置-网站目录-密码访问(BasicAuth)套一下。

这个可以参考:https://www.daniao.org/5770.html


3.SSH改端口。禁root登录。创建一个普通用户(su root换权限)。sshd设置密码错误次数。

4.默认站点:面板网站-默认站点。

参考:https://www.daniao.org/2668.html


5.个人比较严格点。ssh都指定跳盘小鸡IP。

6.可以只保留i3个端口 80 443 SSH端口!

稍后会写一个如何设置的教程~~~


【AD】AkileCloud#2024BlackFriday黑五活动,每日限量半价放货香港,日本,美国流量型云服务器,只要50元/年

【AD】哪些路由器可刷老毛子固件(Padavan)? 品牌型号/固件下载汇总

【AD】美国洛杉矶CN2 VPS/香港CN2 VPS/日本CN2 VPS推荐,延迟低、稳定性高、免费备份_搬瓦工vps