震惊! 宝塔系统爆出安全漏洞-无密码直接访问数据库！！！

TIME：2020/08/23

官方发布：

2020-08-23 16:38:47
Linux面板7.4.3
紧急修正一处安全风险，建议7.4.2版本的用户立即更新

2020-08-23 16:35:52
Linux面板7.5.15 测试版
紧急修正一处安全风险

2020/08/23晚上，宝塔官方给每个手机注册用户都发送了紧急通知.

漏洞版本：

Linux7.4.2版本和Windows6.8版本

安全问题：

此版本宝塔面板在部署phpmyadmin时，直接部署在http://ip:888/pma/ 路径下，且不需要验证用户名密码直接访问，对数据库安全构成严重威胁，攻击者甚至可以通过数据库获得服务器权限。

官方更新方法：

脚本在线升级：

登录面板后台，右上角点击更新，弹窗后，点击立即更新

或者使用升级脚本（注意：优先在面板首页直接点更新，失败的情况下，才使用此命令，且不能在面板自带的SSH终端执行）：

curl https://download.bt.cn/install/update_panel.sh|bash

离线升级步骤：

1. 下载离线升级包：http://download.bt.cn/install/update/LinuxPanel-7.4.3.zip
2. 将升级包上传到服务器中的/root目录 3、解压文件：unzip LinuxPanel-7.4.3.zip
3. 切换到升级包目录：cd panel
4. 执行升级脚本：bash update.sh
5. 删除升级包：cd .. && rm -f LinuxPanel-7.4.3.zip && rm -rf panel

注意：

若数据库被恶意删除，在升级面板后，若您不了解数据库恢复机制，请不要做其它操作，建议直接关机，然后找专业人士协助恢复数据
错误的操作方法，可能降低后期数据恢复概率，如需寻求数据恢复协助，请联系客服

总结建议：

每天定时备份全站数据(宝塔定时备份)
每天关注安全漏洞话题
每天关注Hpeak.net的技术文章(这点很重要!)
数据库等敏感地址做好防火墙以及限制你的IP才可以访问