宝塔官方先是发了一条短信,提示说宝塔7.4.2系统有重大安全漏洞,这个漏洞可以让攻击者无授权登录面板,且可以修改数据库的密码。
当时人不在办公桌前,用手机堡塔APP登录,发现没办法升级宝塔版本。附近又没找到网吧,就先那样了。文章源自原紫番博客-https://www.yuanzifan.com/55050.html
今天上午客户要求打包网站,打包时发现PHPmyadmin无法登录,提示未授权,看了数据库状态都是正常的,网站也是正常的。检查了一下,发现居然是root密码被改了??文章源自原紫番博客-https://www.yuanzifan.com/55050.html
换掉root密码,这才打包登录成功。文章源自原紫番博客-https://www.yuanzifan.com/55050.html
这台机器是在腾讯云。腾讯云也通过公众号提示了这个风险,看来这风险还真的是不小。文章源自原紫番博客-https://www.yuanzifan.com/55050.html
文章源自原紫番博客-https://www.yuanzifan.com/55050.html
而我的另一台服务器是用的阿里云张家口服务器,把宝塔的程序升级为7.4.3之后,忽然发现我的wordpress网站全部数据没了,变成了一个新的站点,https也没了。文章源自原紫番博客-https://www.yuanzifan.com/55050.html
这说明宝塔官方说的“绕过授权直接登录、修改数据库”的风险,真的发生了。文章源自原紫番博客-https://www.yuanzifan.com/55050.html
还好我有每天的镜像备份,所以其实不怎么慌。但是当我恢复镜像之后却发现……我的服务器挂了。网站打不开、宝塔打不开、Ping不通、SSH也连不上。其实这样的事情发生过一次,也是恢复镜像,折腾了一整天最后阿里云说是什么物理地址出了问题。文章源自原紫番博客-https://www.yuanzifan.com/55050.html
最后问题解决,我在想这样我是否可以申请补偿一天的时间,我的服务器还要,如果是有大型应用的服务器,一天的损失可就大了去了。喔……所以这就是云服务器的意义?文章源自原紫番博客-https://www.yuanzifan.com/55050.html 文章源自原紫番博客-https://www.yuanzifan.com/55050.html
评论