当前位置:论坛首页 > Linux面板 > 讨论

关于宝塔安全情报信息排查声明(暂无具体的风险)

发表在 Linux面板2020-12-28 11:15 [复制链接] 37 19549

我们在三个月前联合补天发布了百万悬赏漏洞征集专题
如有发现漏洞可以直接在此处提交(目前补天平台没有收到漏洞上报
https://www.butian.net/Article/content/id/521

关于网络流传的此次面板安全漏洞提醒,如果您特别担心,可以做以下常规的安全操作
1、面板设置一些安全措施如更换端口限定IP访问  详情可参考此贴 https://www.bt.cn/bbs/thread-48577-1-1.html
2、备份好数据库及站点数据
3、面板以及Linux系统基本安全设置视频:https://www.bilibili.com/video/BV12V411h7Y7

我们已全力进行排查此次情报相关信息,所有结果会在宝塔论坛发帖公示。

我们的建议是当下暂时什么都不用做,关注官方信息即可

跟进相关记录
10:15分,我们已收到一些相关的情报信息,已安排同事跟进排查
12:10分,我们负责安全的同事已经联系了相关做安全的朋友,目前没有收到一个具体的关于本次安全情况的相关资料,当前还在跟进中
14:01分,根据现有所有汇聚的线索,详细排查后没有找到具体的漏洞,补天百万悬赏漏洞活动依然也没人提交,抱着对用户负责任的态度,我们依然还在持续跟进这条情报,所有信息以我们论坛更新为主。
19:45分,根据现有所有汇聚线索,我们安全技术深入排查,没有找到具体的漏洞,补天等漏洞平台,依然没人提交。我们继续持续跟进。


使用道具 举报 只看该作者 回复
发表于 2020-12-28 14:13:21 | 显示全部楼层
本帖最后由 宝塔用户_vyeclc 于 2020-12-28 14:17 编辑

不给权限就好,本来就是高效运维的。不是让放手不管的,用了三年还没出现过什么数据丢失大事故。    waf 系统加固 定期修改密码 做好备份 到目前为止备份还没因为服务器环境派上用场。又不是什么大事故,真的有大漏洞了官方站早就被拿下了,还能这样传播吗?出问题的都是什么都不设置的,官方已经做的做的够好了,开始就随机了个安全入口和账号密码。平时验证多麻烦点。大事故就少一些
使用道具 举报 回复 支持 2 反对 0
发表于 2020-12-28 15:34:19 | 显示全部楼层
有漏洞很正常,宝塔文件权限普遍是644.755很不规范,并不是你认为的主要文件要限制权限不一定哪个文件就出个什么幺蛾子,给我的感觉就是能用就行,理论说除了必要文件都要限制400->600->640->644,还有功能堆的越多事越多,用的人多了肯定很多黑客找漏洞,一家公司怎能与那么多黑客抗衡?
使用道具 举报 回复 支持 1 反对 0
发表于 2020-12-28 13:25:22 | 显示全部楼层
zwjdujin 发表于 2020-12-28 12:32
赶紧把 NGINX 1.8 给下了吧,免得还有用户装这个。

关于nginx1.8,不放出来,别人会问。老用户有些装了1.8的,如果我们下架了他们怎么办呢?一直有显示的,但是新安装会提示不能安装,我们一直不建议安装太老的东西
使用道具 举报 回复 支持 1 反对 0
发表于 2020-12-28 13:11:26 | 显示全部楼层
论坛说是安装任意一款插件可以触发的漏洞,真的假的,需要关闭面板吗,关闭有什么影响吗
使用道具 举报 回复 支持 1 反对 0
发表于 2020-12-28 12:51:13 | 显示全部楼层
顾轩 发表于 2020-12-28 12:47
nginx1.8有漏洞我倒是信 但面板要有安全漏洞 我有点不信
但是呢 具体还要等官方公告 ...

经查询发帖子的那个用户是使用的破解版导致无法更新,造成网站不显示,实际网站是正常运行的。
使用道具 举报 回复 支持 1 反对 0
发表于 2020-12-28 12:10:49 | 显示全部楼层
瑟瑟发抖。。。但还是支持官方的公开透明,早早提示
使用道具 举报 回复 支持 反对
发表于 2020-12-28 12:17:41 | 显示全部楼层
本帖最后由 FYBK 于 2020-12-28 12:22 编辑

早点说已经在解决啊...我这要打包备份直接大工程,希望宝塔官方尽快解决,不要再出问题了...

在全力核查此次安全情报,留意官方公告  发表于 2020-12-28 12:30
使用道具 举报 回复 支持 反对
发表于 2020-12-28 12:32:00 | 显示全部楼层
赶紧把 NGINX 1.8 给下了吧,免得还有用户装这个。

这个及早都不给安装了,没下,安装提示不让装,太老了,直接下用户又问为啥没  发表于 2020-12-28 14:01
使用道具 举报 回复 支持 反对
发表于 2020-12-28 12:32:47 | 显示全部楼层
hello bug
你好 BUG
使用道具 举报 回复 支持 反对
发表于 2020-12-28 12:36:37 | 显示全部楼层
走过路过不错过
使用道具 举报 回复 支持 反对
发表于 2020-12-28 12:38:24 | 显示全部楼层
坐等吃瓜
使用道具 举报 回复
发表于 2020-12-28 12:44:19 | 显示全部楼层
这个在hostloc看到的
说的有人被删了 到最后是面板是非正式版导致文件被锁了
使用道具 举报 回复 支持 反对
发表于 2020-12-28 12:47:38 | 显示全部楼层
nginx1.8有漏洞我倒是信 但面板要有安全漏洞 我有点不信
但是呢 具体还要等官方公告
使用道具 举报 回复 支持 反对
发表于 2020-12-28 13:13:18 | 显示全部楼层
nilkkk 发表于 2020-12-28 13:11
论坛说是安装任意一款插件可以触发的漏洞,真的假的,需要关闭面板吗,关闭有什么影响吗 ...

不信谣 不传谣 都不知道是真的还是假的
如果要安全 关闭面板 关闭ssh 这样更好
使用道具 举报 回复 支持 反对
发表于 2020-12-28 13:20:30 | 显示全部楼层
才相隔不到4个月,致命漏洞出现两次,希望官方好好排查,保住年终奖..............

根据线索排查暂时并没具体信息,我们还在持续关注,关注官方论坛,以官方信息为主。  发表于 2020-12-28 13:33
使用道具 举报 回复 支持 反对
发表于 2020-12-28 13:22:08 | 显示全部楼层
刚备份好。。
使用道具 举报 回复
发表于 2020-12-28 13:24:11 | 显示全部楼层
nilkkk 发表于 2020-12-28 13:11
论坛说是安装任意一款插件可以触发的漏洞,真的假的,需要关闭面板吗,关闭有什么影响吗 ...

那来的消息,宝塔官网也有使用防火墙插件,官网也是使用宝塔面板,咋没见被拿下呢,一大堆网站也是使用宝塔面板,插件站咋没见被黑拿下呢,以官方为准,其他的就算了吧
使用道具 举报 回复 支持 反对
123下一页
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

普通问题处理

论坛响应时间:72小时

问题处理方式:排队(仅解答)

工作时间:白班:9:00 - 18:00

紧急运维服务

响应时间:3分钟

问题处理方式:宝塔专家1对1服务

工作时间:工作日:9:00 - 18:30

宝塔专业团队为您解决服务器疑难问题

立即付费处理

工作时间:09:00至24:00

快速回复 返回顶部 返回列表