关于宝塔7.4.2Pma漏洞无需升级解决教程
今天上午已经有小伙伴爆出宝塔7.4.2版本有PMA漏洞,可直接进入该版本的服务器数据库,安全问题可知有多严重
影响用户: 宝塔7.4.2 ,其他版本及内测版本暂不影响
夏柔也是最新得到消息,把公告发到一些经常聊天的WordPress群里,很多用户看到我发的消息后确认新版本直接无痛升级,但是有些用户修改了宝塔文件并且表示不想升级该如何操作?
漏洞说明:入侵者可以使用漏洞登录phpmyadmin,达到删除数据库,提权等。
目前宝塔官方已通过短信等官方群及宝塔论坛官网通知用户尽快升级,可想而知此次的漏洞严重性
不法人员可通过 IP:888/Pma 或者 IP:888/PHPmyadmin 进入数据库获取数据
01解决方法:
进入/www/server/phpmyadmin目录,查看是否有pma文件夹,然后删除。进入phpmyadmin插件里更改默认888端口为其他安全端口。如果用不到phpmyadmin可以选择删除该插件。如不使用可以取消勾选启用公共访问权限,或者php版本设置为纯静态。其他说明:宝塔7.4.2版本起增加了adminer数据库管理软件。为了安全起见如果不使用请删除/www/server/panel/adminer目录即可。
02解决方法:
升级脚本(注意:优先在面板首页直接点更新,失败的情况下,才使用此命令,且不能在面板自带的SSH终端执行):
curlhttps://download.bt.cn/install/update_panel.sh|bash离线升级步骤:
1、下载离线升级包:因百家号协议原因不能发链接,请到宝塔官网获取升级2、将升级包上传到服务器中的/root目录3、解压文件:unzip LinuxPanel-7.4.3.zip4、切换到升级包目录: cd panel5、执行升级脚本:bash update.sh6、删除升级包:cd . && rm -f LinuxPanel-7.4.3.zip && rm -rf panel来源WordPress极简博客,原创文章