搬瓦工

宝塔 Linux 面板发布紧急漏洞补丁,升级最新版宝塔面板教程

宝塔面板近日紧急发布一个漏洞补丁,修复最近一个比较严重的漏洞。这个漏洞搬瓦工中文网也简单的了解了一下,确实是非常严重,利用难度几乎为 0,但是风险却是巨大。简单地说,就是可以无任何技术难度的获取使用宝塔面板的用户的数据库。需要注意的是,本次漏洞仅针对宝塔面板 7.4.2 的用户,基本上使用宝塔的用户应该都收到短信通知了,所以搬瓦工中文网在此也再次提醒大家,如果使用的是宝塔面板,赶紧更新面板,并且进行修改密码等各种后续操作。

一、宝塔面板升级修复教程

更新日志:

  1. 紧急修正一处安全风险

此次更新为紧急安全更新,请7.4.2的用户务必更新到最新版。

升级脚本(注意:优先在面板首页直接点更新,失败的情况下,才使用此命令,且不能在面板自带的SSH终端执行):

curl https://download.bt.cn/install/update_panel.sh | bash

二、离线升级修复步骤

1、下载离线升级包:http://download.bt.cn/install/update/LinuxPanel-7.4.3.zip
2、将升级包上传到服务器中的/root目录
3、解压文件:unzip LinuxPanel-7.4.3.zip
4、切换到升级包目录: cd panel
5、执行升级脚本:bash update.sh
6、删除升级包:cd .. && rm -f LinuxPanel-7.4.3.zip && rm -rf panel

宝塔正在不断成长中,为此我们会收集用户的反馈与建议,加上我们团队的不断琢磨,将所有收集与发现的信息,加工进宝塔面板里,并固定在每周三发布更新,更新内容包括:BUG修复,稳定性升级,用户体验优化,新功能增加。
除了每周三的日常更新以外,当发现关于安全性相关的BUG时,我们会在24小时内修复并立即发布更新,因为宝塔面板是服务器软件,我们对安全性非常关注。

来源:https://www.bt.cn/bbs/thread-54644-1-1.html

三、后续更多弥补和挽救措施

除了进行一系列升级措施,我们还需要进行进一步挽救,因为很可能你的密码或者数据库已经被别人破解了。

1、修改所有可能的密码。修改所有和你数据库相同的密码,建议尽可能的使用无规律密码,自己另行记录即可,不要使用任何有意义信息的密码。

2、备份数据库,修改数据库里用户名的邮箱地址以及邮箱对应的密码。因为很可能你的邮箱等信息都已经暴露了。

3、通知网站用户修改相关信息。通知网站用户修改邮箱、密码等信息,毕竟你的数据库泄露了的话,你网站的用户信息也可能都已经泄露了。

4、尽量将建站环境更换为无面板环境,比如 LNMP,比如 LAMP 等,没有面板的建站环境不需要面板和环境的交互,相对来说存在漏洞的可能性会更小,也更安全。

5、定期修改密码,这也是非常好的习惯。

四、搬瓦工新手教程、便宜方案推荐

1、搬瓦工新手入门系列文章:

  1. 搬瓦工新手入门教程(1):搬瓦工众多方案怎么选择
  2. 搬瓦工新手入门教程(2):搬瓦工机房选择和速度测试
  3. 搬瓦工新手入门教程(3):注册账户和微信支付、支付宝购买教程
  4. 搬瓦工新手入门教程(4):登录搬瓦工网站后台查看 VPS,登录 KiwiVM 面板进行简单管理
  5. 搬瓦工新手入门教程(5):通过 KiwiVM 后台面板更换操作系统并获取登录信息

2、搬瓦工推荐方案:

优惠码:BWHCGLUKKB(优惠力度 6.58%)

方案内存CPU硬盘流量/月带宽机房价格购买
KVM
(最便宜)
1GB2核20GB1TB1GbpsDC3 CN2
DC8 ZNET
$49.99/年购买
KVM2GB3核40GB2TB1Gbps$52.99/半年
$99.99/年
购买
CN2GIA-E
(最推荐)
1GB2核20GB1TB2.5GbpsDC6 CN2 GIA-E
DC9 CN2 GIA
日本软银 JPOS_1
荷兰 EUNL_9
$49.99/季度
$169.99/年
购买
CN2GIA-E2GB3核40GB2TB2.5Gbps$89.99/季度
$299.99/年
购买
HK2GB2核40GB0.5TB1Gbps中国香港 CN2 GIA
日本东京 CN2 GIA
$89.99/月
$899.99/年
购买
HK4GB4核80GB1TB1Gbps$155.99/月
$1559.99/年
购买
OSAKA2GB2核40GB0.5TB1.5Gbps日本大阪 CN2 GIA$49.99/月
$499.99/年
购买
OSAKA4GB4核80GB1TB1.5Gbps$86.99/月
$869.99/年
购买
退出移动版