关于宝塔安全情报信息排查声明（暂无具体的风险）

我们在三个月前联合补天发布了百万悬赏漏洞征集专题
如有发现漏洞可以直接在此处提交（目前补天平台没有收到漏洞上报）
https://www.butian.net/Article/content/id/521

关于网络流传的此次面板安全漏洞提醒，如果您特别担心，可以做以下常规的安全操作：
1、面板设置一些安全措施如更换端口限定IP访问  详情可参考此贴 https://www.bt.cn/bbs/thread-48577-1-1.html
2、备份好数据库及站点数据
3、面板以及Linux系统基本安全设置视频：https://www.bilibili.com/video/BV12V411h7Y7

我们已全力进行排查此次情报相关信息，所有结果会在宝塔论坛发帖公示。

我们的建议是当下暂时什么都不用做，关注官方信息即可。

跟进相关记录
10:15分，我们已收到一些相关的情报信息，已安排同事跟进排查
12:10分，我们负责安全的同事已经联系了相关做安全的朋友，目前没有收到一个具体的关于本次安全情况的相关资料，当前还在跟进中
14:01分，根据现有所有汇聚的线索，详细排查后没有找到具体的漏洞，补天百万悬赏漏洞活动依然也没人提交，抱着对用户负责任的态度，我们依然还在持续跟进这条情报，所有信息以我们论坛更新为主。
19:45分，根据现有所有汇聚线索，我们安全技术深入排查，没有找到具体的漏洞，补天等漏洞平台，依然没人提交。我们继续持续跟进。

不给权限就好，本来就是高效运维的。不是让放手不管的，用了三年还没出现过什么数据丢失大事故。    waf 系统加固 定期修改密码 做好备份 到目前为止备份还没因为服务器环境派上用场。又不是什么大事故，真的有大漏洞了官方站早就被拿下了，还能这样传播吗？出问题的都是什么都不设置的，官方已经做的做的够好了，开始就随机了个安全入口和账号密码。平时验证多麻烦点。大事故就少一些

有漏洞很正常，宝塔文件权限普遍是644.755很不规范，并不是你认为的主要文件要限制权限不一定哪个文件就出个什么幺蛾子，给我的感觉就是能用就行，理论说除了必要文件都要限制400->600->640->644,还有功能堆的越多事越多，用的人多了肯定很多黑客找漏洞，一家公司怎能与那么多黑客抗衡？

zwjdujin 发表于 2020-12-28 12:32
赶紧把 NGINX 1.8 给下了吧，免得还有用户装这个。

关于nginx1.8，不放出来，别人会问。老用户有些装了1.8的，如果我们下架了他们怎么办呢？一直有显示的，但是新安装会提示不能安装，我们一直不建议安装太老的东西

论坛说是安装任意一款插件可以触发的漏洞，真的假的，需要关闭面板吗，关闭有什么影响吗

顾轩 发表于 2020-12-28 12:47
nginx1.8有漏洞我倒是信 但面板要有安全漏洞 我有点不信
但是呢 具体还要等官方公告 ...

经查询发帖子的那个用户是使用的破解版导致无法更新，造成网站不显示，实际网站是正常运行的。

瑟瑟发抖。。。但还是支持官方的公开透明，早早提示

早点说已经在解决啊...我这要打包备份直接大工程,希望宝塔官方尽快解决,不要再出问题了...

赶紧把 NGINX 1.8 给下了吧，免得还有用户装这个。

hello bug
你好 BUG

走过路过不错过

坐等吃瓜

这个在hostloc看到的
说的有人被删了 到最后是面板是非正式版导致文件被锁了

nginx1.8有漏洞我倒是信 但面板要有安全漏洞 我有点不信
但是呢 具体还要等官方公告

nilkkk 发表于 2020-12-28 13:11
论坛说是安装任意一款插件可以触发的漏洞，真的假的，需要关闭面板吗，关闭有什么影响吗 ...

不信谣 不传谣 都不知道是真的还是假的
如果要安全 关闭面板 关闭ssh 这样更好

才相隔不到4个月，致命漏洞出现两次，希望官方好好排查，保住年终奖..............

刚备份好。。

nilkkk 发表于 2020-12-28 13:11
论坛说是安装任意一款插件可以触发的漏洞，真的假的，需要关闭面板吗，关闭有什么影响吗 ...

那来的消息，宝塔官网也有使用防火墙插件，官网也是使用宝塔面板，咋没见被拿下呢，一大堆网站也是使用宝塔面板，插件站咋没见被黑拿下呢，以官方为准，其他的就算了吧