未分類
8 9 月 2020

有关于宝塔这次的严重漏洞,你是否还会信赖类似的面板

有关于宝塔这次的严重漏洞,你是否还会信赖类似的面板

資深大佬 : yiyezhihan 25

有关于宝塔这次的严重漏洞,你是否还会信赖类似的面板

https://www.bt.cn/bbs/thread-54644-1-1.html

不需要任何权限直接访问数据库,不需要登录!!

###如果服务器上的宝塔面板版本 7.4.2 ,请及时更新。

我自己是会逐渐转移到 oneinstack,lnmp 吧

宝塔这次真的是一生黑!!

大佬有話說 (100)

  • 資深大佬 : lusi1990

    用过一次,不喜欢这种不在我掌控范围的软件

  • 資深大佬 : yiyezhihan

    @lusi1990 对他已经一生黑了

  • 資深大佬 : murmur

    怎么说呢,这种控制台通过公网暴露出去本身问题就很大,这种东西要么只能对公司 IP 访问,要么得走堡垒机、vpn 这些专门访问

  • 資深大佬 : yiyezhihan

    @murmur 这应该算是最低级的严重漏洞,不知道他们的测试人员干啥的,宝塔都发短信了。

  • 資深大佬 : rrfeng

    502
    ——

    所以自己也被搞了吗

  • 資深大佬 : yiyezhihan

    @rrfeng 漏洞爆出来就升级了,这种漏洞让我远离宝塔。。

  • 資深大佬 : murmur

    @yiyezhihan 看网上说是 phpmyadmin 没有密码可以任意访问?

  • 資深大佬 : CallMeReznov

    之前国内一款 w 什么开头的面板,也是因为 mysqladmin 三天两头被爆.
    我在搬瓦工的那个 VPS 一年里就没清闲过.
    就算升级了隔几天还是会被爆.

  • 資深大佬 : bagheer

    没装 phpmyadmin 没开 888 端口的,基本没事。

  • 資深大佬 : yiyezhihan

    @murmur 对的,我已经测试了,是真的。:888/pma

  • 資深大佬 : wbrobot

    宝塔升级脚本
    https://v2ex.com/t/700756

  • 資深大佬 : xiri

    从来不用宝塔,一直都是自己敲命令管理,也没有多复杂啊。

  • 資深大佬 : SunnyLyx

    转用可信赖的 lnmp 脚本了,毕竟年度才更新一次,应该是比较稳的

  • 資深大佬 : alexkkaa

    这届程序员连环境都懒得配了吗 再不济你跑个自动脚本不行吗

  • 資深大佬 : yiyezhihan

    @SunnyLyx 是的
    @xiri 对

    @alexkkaa 对很多小企业来说,他们没有这种能力只能使用类似宝塔的面板。

  • 資深大佬 : pcbl

    漏洞归漏洞 该用还得用。。。

  • 資深大佬 : Foxkeh

    我们公司政策都不允许用种 Web 控制台…

  • 資深大佬 : love

    有更方便的命令行不用,纯粹是 win 带来的恶习

  • 資深大佬 : Felldeadbird

    基础软件暴露严重漏洞,主是不是也不用?

    是软件就有漏洞,使用时就要承担这个风险呀。

    类似宝塔这种管理平台,对于普通用户,直接推荐他们用就好了,省事。

    而对于有开发团队的企业,肯定不能选择这种平台。公司安全,运维不是白请的。

  • 資深大佬 : zachlhb

    为啥我没试出这个漏洞,我访问是 404

  • 資深大佬 : guanhui07

    没用过 不喜欢用这种

  • 資深大佬 : whileFalse

    怎么说呢,功能丰富、售价低廉、安全性高三者最多可以满足两条,甚至有很多产品只满足一条。虽然没用过宝塔,不过他似乎可以算是功能相对丰富,价格比较低廉的。

    再回到 LZ 的陈述上,“准备逐渐转移到 OneinStack 、LNMP”。你说的这两者和宝塔根本不是一个级别的。

  • 資深大佬 : Tink

    公司确实不允许使用这类集成 web 环境

  • 資深大佬 : evilStart

    主是自己用还是公司用?现在基本都上云了吧,不太需要自己搭基础环境,很少需要这类面板了。除非是企业内部的产品。

  • 資深大佬 : bfme

    有漏洞详细介绍吗?

  • 資深大佬 : vc1

    前面套个 nginx,加 http basic 认证,可缓解很多问题

  • 資深大佬 : igfw

    以前用 lnmp,感觉稍微麻烦一点对小白。
    后来换成宝塔了,幸亏不是 7.4.2 版本

  • 資深大佬 : Mac

    宝塔的客服水平太垃圾,曾经递交一个 BUG,被客服说早就修复了给关了。结果 2 个月后,其他人又发现这个 BUG,才信他们真的没修复这个 BUG 。

  • 資深大佬 : raaaaaar

    刚入门的时候用过一次,搭了个博客,不过一出问题就嫌麻烦,就自己折腾了。

    小白入门可以折腾下,正式上线谁用这玩意,起码也找个开源的啊。

  • 資深大佬 : XsterreX

    以前看了下宝塔,大致了解下,觉得这东西不可控因素太大,弃了没敢用

  • 資深大佬 : webshe11

    给小白用的,V 站大部分人应该不会用这个吧

  • 資深大佬 : vteng

    没有生产环境会用宝塔的吧

  • 資深大佬 : Lightbright

    @vteng 事实上生产环境不仅会用,甚至某些 gov 网站的生产环境都在用

  • 資深大佬 : herozzm

    已经开始就信任过,都是命令行走起

  • 資深大佬 : chnyuwen

    @love win 的 gui 是恶习?开什么历史的倒车?不分使用环境、使用人员直接来一句 gui 是陋习,也是没谁了

  • 資深大佬 : ivesun

    这次漏洞我第一时间把自己的几个小站点试了下,都没发现问题,才想起来,我没装 phpmyadmin 或者装了没运行,毕竟用的太少了。。。

  • 資深大佬 : akira

    从来就不信赖类似的面板

  • 資深大佬 : jinhan13789991

    Docker 不香吗?

  • 資深大佬 : ajaxfunction

    宝塔市场份额 比其他几家加起来的和都要多很多,这个不用,那个也不用,那到底谁在用?

  • 資深大佬 : Curtion

    一直用的 amh,好多年了

  • 資深大佬 : yuanchao

    一直在用 oneinstack

  • 資深大佬 : Hyouka

    几个 VPS 都用了…都是 7.4.2 的,不过无所谓…没生产环境…
    都是搭建测试用的东西;

  • 資深大佬 : lbp0200

    我很奇怪,这货的安全性,现在才有人重视

  • 資深大佬 : shuigui

    应该没人在公司业务中用吧,学生时看简介尝试用过一次,觉得没什么用后面就没关注了

  • 資深大佬 : Stlin

    没装过,我总觉得这东西在机子上跑会占一部分运存呢?装了也就看看机子的运行状态、一些信息之类的,感觉没啥必要,一般都是用命令管理的

  • 資深大佬 : xinyana

    还会继续用,因为有点漏洞对我来说无所谓
    1.数据不太重要
    2.每天备份
    3.确实方便

  • 資深大佬 : SilencerL

    @love #18 看了你的回复记录我发现你就是张口就来的绝佳典范.

  • 資深大佬 : eth

    一直再用 oneinstack

  • 資深大佬 : msg7086

    面向外行的工具和面向内行的工具本来就不一样。
    该用的人还是会继续用,不用的人还是一样不用。

  • 資深大佬 : Vegetable

    从来就没信任过好吧,我的常识告诉我,这种会把管理权限暴露在 web 端口的工具,就不可能百分百安全。

  • 資深大佬 : keepeye

    这种面板用户群体应该是那些不熟悉 linux 又觉得 linux 好的人,像很多小站长之类的。

  • 資深大佬 : sparrww

    反正数据每天异地备份,个人小站,用这个图个方便,这种 bug 无所谓。公司还是慎用,最起码搞个内网访问

  • 資深大佬 : ScotGu

    因噎废食?
    ssh 也有过漏洞,CPU 硬件级漏洞岂不是要回归蒸汽时代?

  • 資深大佬 : lewis89

    @chnyuwen #33 运维这个场景,说实话 GUI 真是陋习,大部分针对服务器开发的东西 基本上不会提供良好的 GUI 程序,而且随着功能升级 GUI 也要跟着变动,有这个资源跟闲时间去画 GUI 应该把好钢用到刀刃上才是,知名的开源服务端项目 基本上不提供 GUI 界面,例如 Nginx Mysql-server 之类的,而且使用这些软件,基本上开发者就已经默认你是专业相关的人士了

  • 資深大佬 : zxcslove

    说风凉话容易,倒是推荐一个能大致替代的产品啊。命令行优势在于互操作性,图形交互的便利是敲命令能替代的?

  • 資深大佬 : imaning

    上一堆人说没人用的,很多个人站长、中小企业都在用,因为专业运维对他们来说,是一笔不小的开支,但是又仅仅是跑一下 web 站,如果安排一个专业的运维来,技术成本和自己成本都太高,所以用的人多了去了。

    在中国这种英语环境下,你想所有人都能使用命令、使用 Linux,那是不可能的。这里是程序员社区,当然很多人不用这种带界面的平台,但是,中小企业,个人开发者,为了快速配环境,宝塔这种面板,十分钟就能解决。

  • 資深大佬 : paoqi2048

    所以有什么好的替代品么?

  • 資深大佬 : gabezhao

    开发用一下可以呀

  • 資深大佬 : heyjei

    用过一次宝塔,确实方便,比自己一行行敲命令方便多了。

  • 資深大佬 : fengtalk

    OneinStack +1,确定挺好用的。装好以后就几个常用的命令。
    如果是 Windows 环境,可以试试 PHPTS 。

  • 資深大佬 : momocraft

    从上面回复来看,根本不是因为信赖才用的

    要目标人群换个学不来的等于自砸饭碗

  • 資深大佬 : ruyu

    可是为什么要用它呢, Linux 也不是很难学啊, 再不济还有 Docker 呢

  • 資深大佬 : fengchang

    我试过一次,忘了是因为什么需求不能满足,好像和 nginx 反代 docker 有关,就放弃了。lnmp 配置对我来说不麻烦,但是有个面板感觉还是舒心很多,逃过一劫啊。

  • 資深大佬 : opengps

    改用还得用,该防还得防。
    及时用自己做的面板漏洞其实更多,只是“眼不见为净”而已
    我网站由于全是自己写的代码,所以有人曾说我“无招胜有招”,因为不是通用的框架的攻击类型

  • 資深大佬 : colorfulberry

    服务器的理想是非必要不安装,非必要不开通。及时升级。

  • 資深大佬 : meiyoumingzi6

    没用过都是自己手改………….

  • 資深大佬 : ihugo

    昨天晚上吓得爬起来看了下,没中招就安心的睡了

  • 資深大佬 : GeekSky

    我喜欢全部自己手动精细化配置服务器,不喜欢这种东西,面板这玩意个人认为适合刚入门的新手。

  • 資深大佬 : huaxing0211

    从不用面板,都是自己单独安装环境。

  • 資深大佬 : ysicing

    感觉可以看看 p 神写的分析 宝塔面板 phpMyAdmin 未授权访问漏洞是个低级错误吗? https://mp.weixin.qq.com/s/3ZjwFo5gWlJACSkeYWQLXA

  • 資深大佬 : sun019

    自己测试用 挺好挺方便
    至少 这东西的架构方式 以及产品,还是值得学习的

  • 資深大佬 : LANB0

    刚看了下,给小侄子玩儿的轻量云还在 5.9.2,话说这种东西干嘛这么追新

  • 資深大佬 : nooper

    不用,都用 jumphost,加 vpn,限制及其严格。外加 MFA

  • 資深大佬 : xiaket

    说句政治不正确的话, 我不信任用 php/javascript 写的后端程序.

  • 資深大佬 : binggg

    只要是自己维护管理服务器,不可避免都可能会发生这种事情

  • 資深大佬 : binggg

    都 0202 年了,推荐使用免运维的云开发 CloudBase,一键享受 Serverless 架构

    github.com/TencentCloudBase/cloudbase-framework

  • 資深大佬 : Famio

    我是骄傲的 appnode 用户

  • 資深大佬 : nnnToTnnn

    @chnyuwen 35L 我实在搞不清 gui 能带来什么?

    – 操作方便。 命令行 完胜。
    – 方便排错。 命令行 完胜。
    – 操作简单。 命令行 完胜。
    – 学习难度。 命令行 完胜。
    – 美观度。 GUI 完胜。

    真的不明白,除了美观,GUI 没有哪些是强过命令行的。 使用命令行的

  • 資深大佬 : xiongsa18

    该用还是用,方便简单快捷,修改下安全端口,非必要服务不安装,跑个 web 还是美滋滋。

  • 資深大佬 : azoon

    @xiaket 然而宝塔是 python 写的

  • 資深大佬 : Redbeanw

    今年除夕夜宝塔把我惹恼了,然后一气之下换了 Oneinstack
    别说,真滴好用,用到现在没打算换过。
    我觉得吧呵呵,要是连 shell 都懒得打的人,建 nm 的站呢?

  • 資深大佬 : jzphx

    跟不上时代步伐还在用 lnmp,每次折腾环境都得翻出旧帖子

  • 資深大佬 : muzuiget

    从来不用这种面板,尤其是能从 web 执行 shell 命令的。

  • 資深大佬 : HertzHz

    @nnnToTnnn 学习难度、操作方便 /简单明明是 GUI 完胜。GUI 显然可以带来更加快速、方便的操作环境,10 分钟就能搭起一个 Web,改配置也更加方便。追求简单的操作难道不正常吗?(利益相关:前宝塔用户,前前 apt-get nginx 用户,现云服务 serverless 托管用户

  • 資深大佬 : HertzHz

    CLI GUI 各有优势,大家各有喜好,这 CLI 用户也能歧视 GUI 了吗。CLI GUI 互补岂不美哉?连自己命令行装 LNMP 都能装出优越感来了吗

  • 資深大佬 : iyaozhen

    这些面板不是问题 问题是不应该开放到外网,不过这点很多公司做不到,基础 IT 设施不完善

  • 資深大佬 : tairan2006

    现在不都是直接 docker 跑么……

  • 資深大佬 : starqoq

    只用过 window admin center 。微软爸爸出品。
    如果出了问题,那说明这种管理面板就是会出问题的。没办法的。

  • 資深大佬 : zlllllei

    @lewis89 人家都说了,不分使用环境、使用人员直接来一句 gui 是陋习,这句话不对。你自己再加个在运维这个场景然后去反驳他 GUI 真的是陋习。

  • 資深大佬 : CSGO

    个人用户,不是开发者,我用的很便捷。

  • 資深大佬 : dallaslu

    @chnyuwen 人家只提了恶习,你却非扯什么开历史的倒车。邪恶的政治隐喻。

  • 資深大佬 : AsahiHuang

    @nnnToTnnn 照你这么说人类应该放弃 Windows 和 macOS

  • 資深大佬 : dallaslu

    @zlllllei ???这帖子不是在讨论宝塔面板吗?这不算是运维环境吗?

  • 資深大佬 : dallaslu

    @AsahiHuang 不分使用环境、使用人员直接来一句人类应该放弃 Windows 和 macOS,也是没谁了

  • 資深大佬 : yanyueio

    @nnnToTnnn 可能主只是不熟悉,不习惯 terminal.

    方便的同时也会引入漏洞,没有银弹。

    类似的情况还有,你的网页引用别人的 js 脚本,给 wordpress 安装很多看似信得过的插件, 给 android 手机上安装不熟悉的开发者的 app 还给了它要的权限 and etc.

    btw: 我是命令行π。

  • 資深大佬 : xiaket

    @azoon pma

  • 資深大佬 : doublie

    该用还是得用啊
    毕竟宝塔解决了好多的需求

  • 資深大佬 : Depth

    宝塔挺好用的,以后会继续用,如果出过一次问题就不用的态度,不看原因。
    那一段时间之后,岂不是要自己开发了。
    https://mp.weixin.qq.com/s/3ZjwFo5gWlJACSkeYWQLXA

  • 資深大佬 : doublie

    拒绝犯低级错误

  • 資深大佬 : liuzhaowei55

    希望论坛的很多看客不会因为上边大佬们的一番看法就把宝塔卸载了。。。