宝塔面板linux7.42,7.5.14测试版,windows6.8版本受影响,其他的版本没有这个问题。
https://bbs.zsxwz.com/thread-3223.htm
phpmyadmin授权漏洞,导致无需验证就可以直接登录数据库。这个问题应该存在挺久的了,查了一下自己的网站记录,早在8月4日,就有人利用了这个漏洞在用脚本扫描搞事情了,还有几条记录是也是早前直接访问的记录,好在自己没有开放默认888端口,也没出什么大事。
官方8月23日紧急修复了一波bug,而且短信通知升级,然后很多人都中招了。可能只有少数人知道这个bug,这么一通知,知道的人多了,乘机搞事情的就多了。
虽然不知道有多大仇多大怨,爬了别人的数据库,还需要删别人数据库。。。
数据备份还是很重要的,防小人,也防自己不小心删了,也不用跑路。。。
https://bbs.zsxwz.com/thread-1642.htm
如果不小心中招,又没有备份,宝塔面板默认保存一份mysql-binxxxx的binlog日志文件,或许可以尝试恢复一些数据。
不管怎么说安全还是最重要的,对于使用面板,默认端口是肯定需要修改的,以免被爆破。面板入口,面板用户,最好搞一个复杂一点的。还是不放心,可以开启二次验证。
对于服务器,一些简单的安全措施,还是有必要的,修改ssh端口,ssh密钥登录,关闭root登录,设置防火墙,禁ping等等:
服务器瞎折腾优化不完全指南
而对于网站而言,有条件就套cdn,加ssl证书。修改网站默认后台地址,很多网站默认都是用admin。。。修改网站目录权限。有时候可能还需要隐藏自己使用的程序的版本信息等等。
做了那么多,也难保网站不会被黑,道高一尺,魔高一丈。还是安心作好数据备份吧。。。
今日推荐:
Lenovo Quick Fix:关闭Win10 Defender工具
https://bbs.zsxwz.com/thread-3224.htm
上一期:有趣的网站推荐69
视频号: