寶塔面板爆重大漏洞，數據庫無鑑權直接訪問

2020年8月23日，寶塔面板被爆出嚴重的安全事件：數據庫未受權訪問漏洞，公網無需鑑權直接 root 權限進入 phpmyadmin，IP或域名地址：888/pma 能夠直接進入 phpMyAdmin，致使不少網站數據庫被篡改或者直接清理了數據庫，可謂損失慘重！

下圖爲使用寶塔面板服務器軟件後爆出的數據庫未受權訪問漏洞

我是昨天收到阿里雲通知消息提醒的，後面才收到寶塔短信通知的，收到寶塔安全漏洞的通知仍是比較意外的，運維羣炸了，一直在討論數據庫的丟失以及轉移問題。寶塔面板數據庫未受權訪問漏洞，公網無需鑑權直接 root 權限進入 phpmyadmin，IP或域名地址：888/pma 能夠直接進入 phpMyAdmin，致使不少網站數據庫被篡改或者直接清理了數據庫，可謂損失慘重！

目前寶塔官方已經給用戶發送短信提醒升級，影響範圍包括寶塔linux面板 7.4.2以及寶塔windows面板 6.8。寶塔官方發佈緊急安全更新短信通知稱，Linux面板7.4. 2 版本/Windows面板6. 8 版本存在安全隱患，官方已發佈緊急更新，請全部使用此版本的用戶務必升級到最新版。Linux版本7.4.2版本和測試版本7.5.14的用戶更新到如下版本：寶塔linux 測試版本7.5.15 （安全版本）；寶塔linux 正式版 7.4.3 （安全版本）；還沒更新趕忙去更新，詳細操做能夠參考（官方通告）。 建議你們在放行端口方面，只須要放行所須要的端口如80,443不開放其餘端口，能夠很大程度地提高網站的安全，建議封堵888端口。

我一直也是寶塔的用戶，畢竟做爲運維面板名氣仍是比較大的，我去用了才發現寶塔免費版本都是網頁單機管理形式，沒有批量運維的能力，我購買服務器都是起碼幾臺，這時候我須要同時兼顧幾臺服務器的管理運維，一個個複製粘貼登錄地址感受仍是很麻煩的。

後面也是在論壇上看到別人推薦另一款目前免費的面板雲幫手（官網），雲幫手是一款服務器管理軟件，支持windows和linux系統，可以批量集羣管理多個雲服務器，不限雲服務廠商、站點數量和主機數量，同時還兼容Windows、CentOS、Ubuntu、Debian、OpenSUSE、Fedora等雲服務器操做系統。

並且雲幫手安全防禦功能能夠提供端口白名單、IP 黑白名單、網絡鏈接管控等網絡安全管理功能，安全巡檢功能能夠及時發現系統存在的安全風險、系統漏洞，能夠一鍵修復系統漏洞、加固系統，提升系統安全性。 目前有Windows電腦端、 Mac電腦端、 Android移動端、 Ios移動端，我用了一段時間感受整體的功能還行吧，缺點就是軟件應用的支持度還不夠，WEB端還未上線，但願快點更新吧，沒有用過的能夠考慮去體驗一下。