官方跟进相关记录摘抄:
10:15分,我们已收到一些相关的情报信息,已安排同事跟进排查
12:10分,我们负责安全的同事以及联系了相关做安全的朋友,目前没有收到一个具体的关于本次安全情况的相关资料,当前还在跟进中!!
14:01分,根据现有所有汇聚的线索,详细排查后没有找到具体的漏洞,补天百万悬赏漏洞活动依然也没人提交,抱着对用户负责任的态度,我们依然还在持续跟进这条情报,所有信息以我们论坛更新为主。
19:45分,根据现有所有汇聚线索,我们安全技术深入排查,没有找到具体的漏洞,补天等漏洞平台,依然没人提交。我们继续持续跟进。
宝塔官方公告原文链接 https://www.bt.cn/bbs/thread-61706-1-1.html
以下是历史消息!!具体以官方通告为准!!!
官方又改了公告,现在变成了“我们的建议是当下暂时什么都不用做,关注官方信息即可”
以下是漏洞问题:
白帽子发现的,Windows版本,或者linux版本安装过插件,可以直接进后台!!!官方正在查找,不确定什么时候能更新。为了安全,先关闭面板吧。记得备份!!!!!!
宝塔官方目前正在全力排查是否存在重大安全漏洞,如有发现会第一时间更新修复并通知所有面板用户!但是,还是建议先关闭面板服务!
如何关闭面板服务?
1、面板设置一些安全措施如更换端口限定IP访问
2、备份好数据库及站点数据
3、或直接进入ssh执行以下命令关闭面板(关闭面板不影响网站服务)
1、停止面板脚本:
bt stop
2、启动面板脚本:
bt start
3、关闭面板服务器截图
可以用xshell连接到你的服务器,然后执行关闭命令。
xshell使用教程:https://vpship.com/134.html
4、最后
同时还看到有一个nignx1.8的漏洞(这是Nginx软件本来的漏洞),正在查验中,但是Nginx1.8已经是很久之前的版本,Nginx官方已经是停止更新,有漏洞是正常的。而现在我们宝塔面板最新的两个版本已经是官方的1.18.1稳定版跟1.19.6开发版,建议所有nginx用户选择这两个版本,如果安装了Nginx1.8版本的用户,请卸载1.8版本安装新的版本。
官方原文:https://www.bt.cn/bbs/thread-61706-1-1.html
宝塔面板防护-仅供参考
1.宝塔用的是UFW控制防火墙。安装好nginx后随便域名‘防呆’ 8888端口。防火墙就不用留着8888端口了。自然不露公网。
2.nginx都会‘防呆’了。域名-设置-网站目录-密码访问(BasicAuth)套一下。
这个可以参考:https://www.daniao.org/5770.html
3.SSH改端口。禁root登录。创建一个普通用户(su root换权限)。sshd设置密码错误次数。
4.默认站点:面板网站-默认站点。
参考:https://www.daniao.org/2668.html
5.个人比较严格点。ssh都指定跳盘小鸡IP。
6.可以只保留i3个端口 80 443 SSH端口!
稍后会写一个如何设置的教程~~~