这是一个创建于 1534 天前的主题,其中的信息可能已经有所发展或是发生改变。
有关于宝塔这次的严重漏洞,你是否还会信赖类似的面板
https://www.bt.cn/bbs/thread-54644-1-1.html
不需要任何权限直接访问数据库,不需要登录!!
###如果服务器上的宝塔面板版本 7.4.2 ,请及时更新。
我自己是会逐渐转移到 oneinstack,lnmp 吧
宝塔这次真的是一生黑!!
https://www.bt.cn/bbs/thread-54644-1-1.html
不需要任何权限直接访问数据库,不需要登录!!
###如果服务器上的宝塔面板版本 7.4.2 ,请及时更新。
我自己是会逐渐转移到 oneinstack,lnmp 吧
宝塔这次真的是一生黑!!
 |
1
lusi1990 2020-08-23 19:36:57 +08:00 via Android
用过一次,不喜欢这种不在我掌控范围的软件
|
 |
2
yiyezhihan OP @lusi1990 对他已经一生黑了
|
 |
3
murmur 2020-08-23 19:42:48 +08:00
怎么说呢,这种控制台通过公网暴露出去本身问题就很大,这种东西要么只能对公司 IP 访问,要么得走堡垒机、vpn 这些专门访问
|
|
4
yiyezhihan OP @murmur 这应该算是最低级的严重漏洞,不知道他们的测试人员干啥的,宝塔都发短信了。
|
 |
5
rrfeng 2020-08-23 19:46:16 +08:00
502
------ 所以自己也被搞了吗 |
|
6
yiyezhihan OP @rrfeng 漏洞爆出来就升级了,这种漏洞让我远离宝塔。。
|
|
7
murmur 2020-08-23 19:50:06 +08:00
@yiyezhihan 看网上说是 phpmyadmin 没有密码可以任意访问?
|
 |
8
CallMeReznov 2020-08-23 19:50:35 +08:00
之前国内一款 w 什么开头的面板,也是因为 mysqladmin 三天两头被爆.
我在搬瓦工的那个 VPS 一年里就没清闲过. 就算升级了隔几天还是会被爆. |
 |
9
bagheer 2020-08-23 19:50:38 +08:00
没装 phpmyadmin 没开 888 端口的,基本没事。
|
|
10
yiyezhihan OP @murmur 对的,我已经测试了,是真的。:888/pma
|
 |
11
wbrobot 2020-08-23 19:57:34 +08:00
|
 |
12
xiri 2020-08-23 19:59:10 +08:00  1
从来不用宝塔,一直都是自己敲命令管理,也没有多复杂啊。
|
 |
13
SunnyLyx 2020-08-23 19:59:53 +08:00 via Android
转用可信赖的 lnmp 脚本了,毕竟年度才更新一次,应该是比较稳的
|
 |
14
alexkkaa 2020-08-23 20:02:06 +08:00 via Android
这届程序员连环境都懒得配了吗 再不济你跑个自动脚本不行吗
|
|
15
yiyezhihan OP |
 |
16
pcbl 2020-08-23 20:09:57 +08:00
漏洞归漏洞 该用还得用。。。
|
 |
17
Foxkeh 2020-08-23 20:17:23 +08:00
我们公司政策都不允许用种 Web 控制台...
|
 |
18
love 2020-08-23 20:25:19 +08:00 1
有更方便的命令行不用,纯粹是 win 带来的恶习
|
 |
19
Felldeadbird 2020-08-23 20:27:02 +08:00 via iPhone
基础软件暴露严重漏洞,楼主是不是也不用?
是软件就有漏洞,使用时就要承担这个风险呀。 类似宝塔这种管理平台,对于普通用户,直接推荐他们用就好了,省事。 而对于有开发团队的企业,肯定不能选择这种平台。公司安全,运维不是白请的。 |
 |
20
zachlhb 2020-08-23 20:40:21 +08:00 via Android
为啥我没试出这个漏洞,我访问是 404
|
 |
21
guanhui07 2020-08-23 20:59:17 +08:00
没用过 不喜欢用这种
|
 |
22
whileFalse 2020-08-23 21:05:56 +08:00
怎么说呢,功能丰富、售价低廉、安全性高三者最多可以满足两条,甚至有很多产品只满足一条。虽然没用过宝塔,不过他似乎可以算是功能相对丰富,价格比较低廉的。
再回到 LZ 的陈述上,“准备逐渐转移到 OneinStack 、LNMP”。你说的这两者和宝塔根本不是一个级别的。 |
 |
23
Tink 2020-08-23 21:25:26 +08:00 via iPhone
公司确实不允许使用这类集成 web 环境
|
 |
24
evilStart 2020-08-23 23:03:19 +08:00 via Android
楼主是自己用还是公司用?现在基本都上云了吧,不太需要自己搭基础环境,很少需要这类面板了。除非是企业内部的产品。
|
 |
25
bfme 2020-08-24 00:22:45 +08:00 via Android
有漏洞详细介绍吗?
|
 |
26
vc1 2020-08-24 00:32:14 +08:00 via Android
前面套个 nginx,加 http basic 认证,可缓解很多问题
|
 |
27
igfw 2020-08-24 00:39:19 +08:00 via iPhone
以前用 lnmp,感觉稍微麻烦一点对小白。
后来换成宝塔了,幸亏不是 7.4.2 版本 |
 |
28
Mac 2020-08-24 00:57:22 +08:00
宝塔的客服水平太垃圾,曾经递交一个 BUG,被客服说早就修复了给关了。结果 2 个月后,其他人又发现这个 BUG,才信他们真的没修复这个 BUG 。
|
 |
29
raaaaaar 2020-08-24 01:28:54 +08:00 via Android
刚入门的时候用过一次,搭了个博客,不过一出问题就嫌麻烦,就自己折腾了。
小白入门可以折腾下,正式上线谁用这玩意,起码也找个开源的啊。 |
 |
30
XsterreX 2020-08-24 01:30:35 +08:00 via Android
以前看了下宝塔,大致了解下,觉得这东西不可控因素太大,弃了没敢用
|
 |
31
webshe11 2020-08-24 01:35:08 +08:00
给小白用的,V 站大部分人应该不会用这个吧
|
 |
32
vteng 2020-08-24 01:48:48 +08:00 via iPhone
没有生产环境会用宝塔的吧
|
 |
33
Lightbright 2020-08-24 02:01:57 +08:00 via Android
@vteng 事实上生产环境不仅会用,甚至某些 gov 网站的生产环境都在用
|
 |
34
herozzm 2020-08-24 02:04:13 +08:00
已经开始就信任过,都是命令行走起
|
 |
36
ivesun 2020-08-24 02:19:39 +08:00 via Android
这次漏洞我第一时间把自己的几个小站点试了下,都没发现问题,才想起来,我没装 phpmyadmin 或者装了没运行,毕竟用的太少了。。。
|
 |
37
akira 2020-08-24 03:49:54 +08:00
从来就不信赖类似的面板
|
 |
38
jinhan13789991 2020-08-24 09:07:50 +08:00 via Android
Docker 不香吗?
|
 |
39
ajaxfunction 2020-08-24 09:08:48 +08:00
宝塔市场份额 比其他几家加起来的和都要多很多,这个不用,那个也不用,那到底谁在用?
|
 |
40
Curtion 2020-08-24 09:30:30 +08:00
一直用的 amh,好多年了
|
 |
41
yuanchao 2020-08-24 09:47:58 +08:00
一直在用 oneinstack
|
 |
42
Hyouka 2020-08-24 09:51:17 +08:00
几个 VPS 都用了...都是 7.4.2 的,不过无所谓...没生产环境...
都是搭建测试用的东西; |
 |
43
lbp0200 2020-08-24 09:52:24 +08:00
我很奇怪,这货的安全性,现在才有人重视
|
 |
44
shuigui 2020-08-24 09:56:45 +08:00
应该没人在公司业务中用吧,学生时看简介尝试用过一次,觉得没什么用后面就没关注了
|
 |
45
Stlin 2020-08-24 09:58:45 +08:00
没装过,我总觉得这东西在机子上跑会占一部分运存呢?装了也就看看机子的运行状态、一些信息之类的,感觉没啥必要,一般都是用命令管理的
|
 |
46
xinyana 2020-08-24 09:59:15 +08:00
还会继续用,因为有点漏洞对我来说无所谓
1.数据不太重要 2.每天备份 3.确实方便 |
 |
48
eth 2020-08-24 10:05:24 +08:00
一直再用 oneinstack
|
 |
49
msg7086 2020-08-24 10:10:12 +08:00
面向外行的工具和面向内行的工具本来就不一样。
该用的人还是会继续用,不用的人还是一样不用。 |
 |
50
Vegetable 2020-08-24 10:13:49 +08:00
从来就没信任过好吧,我的常识告诉我,这种会把管理权限暴露在 web 端口的工具,就不可能百分百安全。
|
 |
51
keepeye 2020-08-24 10:16:08 +08:00
这种面板用户群体应该是那些不熟悉 linux 又觉得 linux 好的人,像很多小站长之类的。
|
 |
52
sparrww 2020-08-24 10:20:02 +08:00
反正数据每天异地备份,个人小站,用这个图个方便,这种 bug 无所谓。公司还是慎用,最起码搞个内网访问
|
 |
53
ScotGu 2020-08-24 10:34:09 +08:00 7
因噎废食?
ssh 也有过漏洞,CPU 硬件级漏洞岂不是要回归蒸汽时代? |
 |
54
lewis89 2020-08-24 10:38:02 +08:00 1
@chnyuwen #33 运维这个场景,说实话 GUI 真是陋习,大部分针对服务器开发的东西 基本上不会提供良好的 GUI 程序,而且随着功能升级 GUI 也要跟着变动,有这个资源跟闲时间去画 GUI 应该把好钢用到刀刃上才是,知名的开源服务端项目 基本上不提供 GUI 界面,例如 Nginx Mysql-server 之类的,而且使用这些软件,基本上开发者就已经默认你是专业相关的人士了
|
 |
55
zxcslove 2020-08-24 10:39:19 +08:00
说风凉话容易,倒是推荐一个能大致替代的产品啊。命令行优势在于互操作性,图形交互的便利是敲命令能替代的?
|
 |
56
imaning 2020-08-24 10:50:04 +08:00
楼上一堆人说没人用的,很多个人站长、中小企业都在用,因为专业运维对他们来说,是一笔不小的开支,但是又仅仅是跑一下 web 站,如果安排一个专业的运维来,技术成本和自己成本都太高,所以用的人多了去了。
在中国这种英语环境下,你想所有人都能使用命令、使用 Linux,那是不可能的。这里是程序员社区,当然很多人不用这种带界面的平台,但是,中小企业,个人开发者,为了快速配环境,宝塔这种面板,十分钟就能解决。 |
 |
57
paoqi2048 2020-08-24 10:52:45 +08:00
所以有什么好的替代品么?
|
 |
58
gabezhao 2020-08-24 10:52:58 +08:00
开发用一下可以呀
|
 |
59
heyjei 2020-08-24 10:53:22 +08:00
用过一次宝塔,确实方便,比自己一行行敲命令方便多了。
|
 |
60
fengtalk 2020-08-24 10:59:26 +08:00
OneinStack +1,确定挺好用的。装好以后就几个常用的命令。
如果是 Windows 环境,可以试试 PHPTS 。 |
 |
61
momocraft 2020-08-24 11:00:03 +08:00 1
从上面回复来看,根本不是因为信赖才用的
要目标人群换个学不来的等于自砸饭碗 |
 |
62
ruyu 2020-08-24 11:07:11 +08:00
可是为什么要用它呢, Linux 也不是很难学啊, 再不济还有 Docker 呢
|
 |
63
fengchang 2020-08-24 11:10:59 +08:00
我试过一次,忘了是因为什么需求不能满足,好像和 nginx 反代 docker 有关,就放弃了。lnmp 配置对我来说不麻烦,但是有个面板感觉还是舒心很多,逃过一劫啊。
|
 |
64
opengps 2020-08-24 11:11:11 +08:00
改用还得用,该防还得防。
及时用自己做的面板漏洞其实更多,只是“眼不见为净”而已 我网站由于全是自己写的代码,所以有人曾说我“无招胜有招”,因为不是通用的框架的攻击类型 |
 |
65
colorfulberry 2020-08-24 11:42:39 +08:00
服务器的理想是非必要不安装,非必要不开通。及时升级。
|
 |
66
meiyoumingzi6 2020-08-24 12:01:17 +08:00
没用过都是自己手改.............
|
 |
67
ihugo 2020-08-24 12:20:42 +08:00
昨天晚上吓得爬起来看了下,没中招就安心的睡了
|
 |
68
GeekSky 2020-08-24 12:27:24 +08:00
我喜欢全部自己手动精细化配置服务器,不喜欢这种东西,面板这玩意个人认为适合刚入门的新手。
|
 |
69
huaxing0211 2020-08-24 12:31:19 +08:00
从不用面板,都是自己单独安装环境。
|
 |
70
ysicing 2020-08-24 12:52:00 +08:00 6
感觉可以看看 p 神写的分析 宝塔面板 phpMyAdmin 未授权访问漏洞是个低级错误吗? https://mp.weixin.qq.com/s/3ZjwFo5gWlJACSkeYWQLXA
|
 |
71
sun019 2020-08-24 13:57:51 +08:00
自己测试用 挺好挺方便
至少 这东西的架构方式 以及产品,还是值得学习的 |
 |
72
LANB0 2020-08-24 14:01:08 +08:00
刚看了下,给小侄子玩儿的轻量云还在 5.9.2,话说这种东西干嘛这么追新
|
 |
73
nooper 2020-08-24 14:23:08 +08:00
不用,都用 jumphost,加 vpn,限制及其严格。外加 MFA
|
 |
74
xiaket 2020-08-24 14:31:32 +08:00
说句政治不正确的话, 我不信任用 php/javascript 写的后端程序.
|
 |
75
binggg 2020-08-24 14:45:46 +08:00
只要是自己维护管理服务器,不可避免都可能会发生这种事情
|
|
76
binggg 2020-08-24 14:46:28 +08:00
|
 |
77
Famio 2020-08-24 15:04:20 +08:00
我是骄傲的 appnode 用户
|
 |
78
nnnToTnnn 2020-08-24 15:47:01 +08:00 1
@chnyuwen 35L 我实在搞不清 gui 能带来什么?
- 操作方便。 命令行 完胜。 - 方便排错。 命令行 完胜。 - 操作简单。 命令行 完胜。 - 学习难度。 命令行 完胜。 - 美观度。 GUI 完胜。 真的不明白,除了美观,GUI 没有哪些是强过命令行的。 使用命令行的 |
 |
79
xiongsa18 2020-08-24 15:58:25 +08:00
该用还是用,方便简单快捷,修改下安全端口,非必要服务不安装,跑个 web 还是美滋滋。
|
 |
81
Redbeanw 2020-08-24 16:16:28 +08:00
今年除夕夜宝塔把我惹恼了,然后一气之下换了 Oneinstack
别说,真滴好用,用到现在没打算换过。 我觉得吧呵呵,要是连 shell 都懒得打的人,建 nm 的站呢? |
 |
82
jzphx 2020-08-24 16:18:22 +08:00
跟不上时代步伐还在用 lnmp,每次折腾环境都得翻出旧帖子
|
 |
83
muzuiget 2020-08-24 16:36:52 +08:00
从来不用这种面板,尤其是能从 web 执行 shell 命令的。
|
 |
84
HertzHz 2020-08-24 16:37:28 +08:00
@nnnToTnnn 学习难度、操作方便 /简单明明是 GUI 完胜。GUI 显然可以带来更加快速、方便的操作环境,10 分钟就能搭起一个 Web,改配置也更加方便。追求简单的操作难道不正常吗?(利益相关:前宝塔用户,前前 apt-get nginx 用户,现云服务 serverless 托管用户
|
|
85
HertzHz 2020-08-24 16:40:14 +08:00 4
CLI GUI 各有优势,大家各有喜好,这 CLI 用户也能歧视 GUI 了吗。CLI GUI 互补岂不美哉?连自己命令行装 LNMP 都能装出优越感来了吗
|
 |
86
iyaozhen 2020-08-24 16:43:10 +08:00
这些面板不是问题 问题是不应该开放到外网,不过这点很多公司做不到,基础 IT 设施不完善
|
 |
87
tairan2006 2020-08-24 16:52:15 +08:00
现在不都是直接 docker 跑么……
|
 |
88
starqoq 2020-08-24 16:59:25 +08:00
只用过 window admin center 。微软爸爸出品。
如果出了问题,那说明这种管理面板就是会出问题的。没办法的。 |
 |
89
zlllllei 2020-08-24 17:20:19 +08:00
@lewis89 人家都说了,不分使用环境、使用人员直接来一句 gui 是陋习,这句话不对。你自己再加个在运维这个场景然后去反驳他 GUI 真的是陋习。
|
 |
90
CSGO 2020-08-24 17:22:34 +08:00
个人用户,不是开发者,我用的很便捷。
|
 |
92
AsahiHuang 2020-08-24 17:26:27 +08:00
@nnnToTnnn 照你这么说人类应该放弃 Windows 和 macOS
|
 |
94
dallaslu 2020-08-24 17:28:53 +08:00
@AsahiHuang 不分使用环境、使用人员直接来一句人类应该放弃 Windows 和 macOS,也是没谁了
|
 |
95
yanyueio 2020-08-24 17:33:19 +08:00
@nnnToTnnn 可能楼主只是不熟悉,不习惯 terminal.
方便的同时也会引入漏洞,没有银弹。 类似的情况还有,你的网页引用别人的 js 脚本,给 wordpress 安装很多看似信得过的插件, 给 android 手机上安装不熟悉的开发者的 app 还给了它要的权限 and etc. btw: 我是命令行π。 |
 |
97
doublie 2020-08-24 18:02:03 +08:00
该用还是得用啊
毕竟宝塔解决了好多的需求 |
 |
98
Depth 2020-08-24 18:03:00 +08:00
宝塔挺好用的,以后会继续用,如果出过一次问题就不用的态度,不看原因。
那一段时间之后,岂不是要自己开发了。 https://mp.weixin.qq.com/s/3ZjwFo5gWlJACSkeYWQLXA |
|
99
doublie 2020-08-24 18:03:56 +08:00
拒绝犯低级错误
|
 |
100
liuzhaowei55 2020-08-24 19:01:20 +08:00 via iPhone
希望论坛的很多看客不会因为上边大佬们的一番看法就把宝塔卸载了。。。
|
Select Language