很早之前老魏说过不要使用宝塔破解版、开心版,但架不住有人贪心,结果导致服务器被开了后门和被入侵的事情,更厉害的是这位兄弟居然去找宝塔面板官方解决。下面魏艾斯笔记说说这个事情的来龙去脉。
1、宝塔面板破解版事件的经过
1月5日 有人发现自己服务器多了一个登录账号,登录状态:成功。就跑去找宝塔官方客服人员询问。
1月6日经过宝塔官方人员查询后得知这个宝塔面板执行过某个破解脚本,顺藤摸瓜发现该服务器中的 3个宝塔认证文件和 /etc/init.d/bt启动文件被非法篡改。
然后在宝塔官方论坛(点此去看官方公告)公布了这个事情的详细经过,并且贴出了面板登录日志,记录了入侵者登录失败和登录成功的日志记录。
排查面板数据库发现用户表中被增加了一个额外的用户。就是这个用户入侵了服务器。
2、宝塔面板官方忠告
宝塔面板免费版功能基本上能满足用户需求,不要执行第三方破解脚本或者安装开心版,当时挺开心的,后期被入侵就高兴不起来了。
3、正在使用破解版/开心版怎么办
如果你正在使用破解版/开心版,请立即按照官方提示到宝塔面板 > 安全 > 面板操作日志中查看是否有除了你自己用户名之外的可疑用户名。
如果发现了就立即备份网站文件,使用宝塔免费版重新部署干净的建站环境。
如果操作日志被清空,那就请直接备份网站,重装宝塔面板免费版。
4、老魏的看法
不要贪心,不要在自己的服务器上执行破解版/开心版安装脚本,很可能存在安全风险,如果没有发现植入的木马病毒,后期哪天执行起来服务器变成别人的肉鸡,会严重影响网站、应用等业务的正常运行,得不偿失。
为了省一点钱,给自己业务带来巨大的安全隐患,真的不值得。
免费的才是最贵的,永远记住这句话!
宝塔面板付费版本包括:宝塔专业版和宝塔企业版,从安全、性能、功能等多个角度全方位的维护服务器、网站,感兴趣请移步宝塔Linux面板专业版比免费版好在哪里,费用与你的网站、业务安全相比并不算贵。
宝塔免费版还有个宝塔面板免费版Nginx防火墙供使用,且不断升级更新中,也比那些破解版、开心版安全风险小很多。
对这几个版本不知道如何取舍也请看宝塔面板免费版/专业版/企业版区别及如何选择,再做选择。
文章链接:https://www.vpsss.net/27960.html
版权声明:本站资源仅供个人学习交流,禁止转载,不允许用于商业用途,否则法律问题自行承担。
图片版权归属各自创作者所有,图片水印出于防止被无耻之徒盗取劳动成果的目的。
暂无评论内容