风险通知

此次更新为紧急安全更新,请Liunx版本7.4.2版本和windows版6.8版本的用户务必更新到最新版(其他版本不受影响),更新方法登录面板,首页右上角点击更新即可,如若更新失败,请尝试修复面板或者联系客服大炮QQ2839983100,杰哥QQ750755014 阿文QQ627622230 河妖QQ2320547880反馈。

**因更新人数过多 节点带宽负载跑高 所以现在更新可能会出现无法更新的问题
需要稍等一会 再尝试更新现阶段在面板安全-防火墙删除888端口亦可规避漏洞(如更改过phpmyadmin端口也请禁用掉)**
如需phpmyadmin访问的请在更新至7.4.3版本后再开放888默认端口
注意:若数据库被恶意删除,在升级面板后,若您不了解数据库恢复机制,请不要做其它操作,建议直接关机,然后找专业人士协助恢复数据

错误的操作方法,可能降低后期数据恢复概率,如需寻求数据恢复协助,请联系客服

Linux版本7.4.2版本和测试版本7.5.14的用户更新到以下版本

宝塔linux 测试版本7.5.15 (安全版本)

宝塔linux 正式版 7.4.3 (安全版本)

此次更新为紧急安全更新,请7.4.2的用户务必更新到最新版


【重要】宝塔7.4.2 强制登陆PhpMyadmin

【风险】可通过 特定方法 直接登陆phpmyadmin

【修复】更新版本、删除pma目录、关闭888端口


更新日志:

  1. 紧急修正一处安全风险

此次更新为紧急安全更新,请7.4.2的用户务必更新到最新版

Linux服务器

更新方法

登录面板后台,右上角点击更新,弹窗后,点击立即更新


注意:优先在面板首页直接点更新,失败的情况下,才使用此命令,且不能在面板自带的SSH终端执行

升级脚本

curl https://download.bt.cn/install/update_panel.sh|bash

离线升级

  1. 下载离线升级包:http://download.bt.cn/install/update/LinuxPanel-7.4.3.zip
  2. 将升级包上传到服务器中的/root目录
  3. 解压文件:unzip LinuxPanel-7.4.3.zip
  4. 切换到升级包目录:cd panel
  5. 执行升级脚本:bash update.sh
  6. 删除升级包:cd .. && rm -f LinuxPanel-7.4.3.zip && rm -rf panel

Windows服务器

Windows版本6.8版本的用户更新到以下版本

Windows 正式版6.9.0 (安全版本)

此次更新为紧急安全更新,请6.8版本的用户务必更新到最新版。

文章来源宝塔官方

数据库恢复

教程

一、数据库在进行数据更改操作时,会出现数据误操作导致数据异常的情况,所以数据安全是重中至重,对于数据库服务,必须开启binlog日志服务,保证数据的安全,可逆回滚。二进制日志的格式有三种形式分别为ROW、Statement以及MiXED1、STATMENT模式:基于SQL语句的复制(statement-based replication, SBR),每一条会修改数据的sql语句会记录到binlog中。 优点:不需要记录每一条SQL语句与每行的数据变化,这样子binlog的日志也会比较少,减少了磁盘IO,提高性能。 缺点:在某些情况下会导致master-slave中的数据不一致(如sleep()函数, last_insert_id(),以及user-defined functions(udf)等会出现问题)

二、基于行的复制(row-based replication, RBR):不记录每一条SQL语句的上下文信息,仅需记录哪条数据被修改了,修改成了什么样子了。 优点:不会出现某些特定情况下的存储过程、或function、或trigger的调用和触发无法被正确复制的问题。 缺点:会产生大量的日志,尤其是alter table的时候会让日志暴涨。

三、混合模式复制(mixed-based replication, MBR):以上两种模式的混合使用,一般的复制使用STATEMENT模式保存binlog,对于STATEMENT模式无法复制的操作使用ROW模式保存binlog,MySQL会根据执行的SQL语句选择日志保存方式。这里我这都我的数据库日志使用ROW格式。

四、登录数据查看数据库的数据信息;核实相关的binlog日志的报错路径以及日志是否开启。show variables like “log_bin%”;核实最新的binlog日志信息:show master logs; show binary logs; show master status;

五、如果数据库已经被删除,自身不懂如何恢复数据,先别重启服务器,去宝塔论坛或寻找相关客服寻求帮助

注意!

破坏计算机判刑极严,切勿以身试法

本次安全风险我们已经在当地公安局报备,请勿在网上传授他人使用方法以及使用这些工具破坏他人服务器,

传授及操作都已经触犯刑法,
网络非法外之地,国家对于破坏计算机信息系统罪是严打的,判刑都是都比较重的,千万不要以身试法。

也有部分用户受此安全风险影响,我们会全力配合用户固定证据,配合公安机关进行下一步侦查。

有受影响的用户,或者怀疑自己受影响的用户可以直接联系我们,近期我们会加派人手跟进售后。

有数据影响的自身没备份的可以联系我们尝试通过面板二进制日志恢复。

联系客服大炮QQ2839983100阿文QQ627622230河妖QQ2320547880反馈协助恢复数据

宝塔面板PMA安全风险事件经过

起因:

为解决用户服务器被通过phpmyadmin提权导致的安全问题,
我们在Linux面板7.4.2/Windows面板6.8.0 版本中加入了phpmyadmin安全访问模块,
原理是通过面板进行访问phpmyadmin,而不是nginx/apache,
但因在目录存放时存在一个致命逻辑漏洞,导致nginx/apache也可以访问到专门给面板使用的phpmyadmin目录,
我们在做安全审计时将重心放在面板程序中,忽略了除面板外被访问的可能,从而导致了此事件的发生.

受影响的机器:
需同时满足以下所有条件

  1. 软件版本为Linux面板7.4.2 或者Windows面板6.8.0
  2. 开放888且未配置http认证,
  3. 安装了phpmyadmin,mysql数据库

不受影响的机器:
只需满足一条则不受影响

  1. 未开放888端口,
  2. 针对888端口做了严格的安全认证,
  3. 未安装phpmyadmin,
  4. 未安装mysql数据库
  5. 面板版本不为Linux面板7.4.2/Windows面板6.8.0

安全更新时间及内容:
时间:2020-8-23 16:50左右

  1. 移除phpmyadmin安全模块
  2. 删除phpmyadmin遗留文件
  3. 移除fastcgi客户端模块中的目录解释功能

当前最新的安全版本为:
Linux面板7.4.3 / Windows面板6.9.0

除使用紧急修复补丁以外的其它措施:

  1. 第一时间通过 短信、公众号、官网、QQ群等渠道通知用户升级
  2. 在云端软件安装脚本中加入漏洞检测功能,在用户通过云端安装软件时,检测发现漏洞后尝试修复
  3. 通过漏洞本身,尝试破坏利用链(尝试通过phpmyadmin自身漏洞删除config.inc.php, 仅部分Windows有效/Linux版本尝试失败) 2020-8-23 22:00 ~ 2020-8-24 4:00
  4. 通过漏洞本身,尝试破坏利用链(强制修改数据库root密码),此方法部分服务器有效,受phpmyadmin版本和用户配置影响 执行时间:2020-8-24 8:00 ~ 2020-8-24 9:40
  5. 阿里云,腾讯云等很多IDC厂商已紧急发布更新预警并采取限制端口的措施来防止漏洞被利用

下一步:
在漏洞发现第一时间已安排人员加班更新修复,增加服务器带宽,利用所有能利用上的宣传渠道进行更新提醒,同时安排运维及客服人员在线解答所有事项,对于受影响的用户协助他们解决问题,对于人手不足问题已临时调用开发来协助用户,当前所有精力都努力将此安全风险影响最小化,等处理完这步再来更新内部整改处理事项。

在此,我代表我们公司对于这此安全风险对大家带来的困扰表达歉意,接受一切批评声音,内部也会通过这次事件认真复盘反省。

Last modification:February 6th, 2021 at 12:58 pm
END
本文作者:
文章标题:“删库塔”大漏洞
本文地址:https://678wl.cn/archives/74.html
版权说明:若无注明,本文皆Airsado博客原创,转载请保留文章出处。