V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
yiyezhihan
V2EX  ›  问与答

有关于宝塔这次的严重漏洞,你是否还会信赖类似的面板

  •  
  •   yiyezhihan · 2020-08-23 19:35:04 +08:00 · 14355 次点击
    这是一个创建于 714 天前的主题,其中的信息可能已经有所发展或是发生改变。
    有关于宝塔这次的严重漏洞,你是否还会信赖类似的面板



    https://www.bt.cn/bbs/thread-54644-1-1.html

    不需要任何权限直接访问数据库,不需要登录!!

    ###如果服务器上的宝塔面板版本 7.4.2 ,请及时更新。


    我自己是会逐渐转移到 oneinstack,lnmp 吧

    宝塔这次真的是一生黑!!
    116 条回复    2020-08-26 15:14:13 +08:00
    1  2  
    lusi1990
        1
    lusi1990  
       2020-08-23 19:36:57 +08:00 via Android
    用过一次,不喜欢这种不在我掌控范围的软件
    yiyezhihan
        2
    yiyezhihan  
    OP
       2020-08-23 19:39:51 +08:00
    @lusi1990 对他已经一生黑了
    murmur
        3
    murmur  
       2020-08-23 19:42:48 +08:00
    怎么说呢,这种控制台通过公网暴露出去本身问题就很大,这种东西要么只能对公司 IP 访问,要么得走堡垒机、vpn 这些专门访问
    yiyezhihan
        4
    yiyezhihan  
    OP
       2020-08-23 19:45:11 +08:00
    @murmur 这应该算是最低级的严重漏洞,不知道他们的测试人员干啥的,宝塔都发短信了。
    rrfeng
        5
    rrfeng  
       2020-08-23 19:46:16 +08:00
    502
    ------

    所以自己也被搞了吗
    yiyezhihan
        6
    yiyezhihan  
    OP
       2020-08-23 19:47:39 +08:00
    @rrfeng 漏洞爆出来就升级了,这种漏洞让我远离宝塔。。
    murmur
        7
    murmur  
       2020-08-23 19:50:06 +08:00
    @yiyezhihan 看网上说是 phpmyadmin 没有密码可以任意访问?
    CallMeReznov
        8
    CallMeReznov  
       2020-08-23 19:50:35 +08:00
    之前国内一款 w 什么开头的面板,也是因为 mysqladmin 三天两头被爆.
    我在搬瓦工的那个 VPS 一年里就没清闲过.
    就算升级了隔几天还是会被爆.
    bagheer
        9
    bagheer  
       2020-08-23 19:50:38 +08:00
    没装 phpmyadmin 没开 888 端口的,基本没事。
    yiyezhihan
        10
    yiyezhihan  
    OP
       2020-08-23 19:50:52 +08:00
    @murmur 对的,我已经测试了,是真的。:888/pma
    wbrobot
        11
    wbrobot  
       2020-08-23 19:57:34 +08:00
    宝塔升级脚本
    https://v2ex.com/t/700756
    xiri
        12
    xiri  
       2020-08-23 19:59:10 +08:00   ❤️ 1
    从来不用宝塔,一直都是自己敲命令管理,也没有多复杂啊。
    SunnyLyx
        13
    SunnyLyx  
       2020-08-23 19:59:53 +08:00 via Android
    转用可信赖的 lnmp 脚本了,毕竟年度才更新一次,应该是比较稳的
    alexkkaa
        14
    alexkkaa  
       2020-08-23 20:02:06 +08:00 via Android
    这届程序员连环境都懒得配了吗 再不济你跑个自动脚本不行吗
    yiyezhihan
        15
    yiyezhihan  
    OP
       2020-08-23 20:04:22 +08:00
    @SunnyLyx 是的
    @xiri

    @alexkkaa 对很多小企业来说,他们没有这种能力只能使用类似宝塔的面板。
    pcbl
        16
    pcbl  
       2020-08-23 20:09:57 +08:00
    漏洞归漏洞 该用还得用。。。
    Foxkeh
        17
    Foxkeh  
       2020-08-23 20:17:23 +08:00
    我们公司政策都不允许用种 Web 控制台...
    love
        18
    love  
       2020-08-23 20:25:19 +08:00   ❤️ 1
    有更方便的命令行不用,纯粹是 win 带来的恶习
    Felldeadbird
        19
    Felldeadbird  
       2020-08-23 20:27:02 +08:00 via iPhone
    基础软件暴露严重漏洞,楼主是不是也不用?

    是软件就有漏洞,使用时就要承担这个风险呀。

    类似宝塔这种管理平台,对于普通用户,直接推荐他们用就好了,省事。

    而对于有开发团队的企业,肯定不能选择这种平台。公司安全,运维不是白请的。
    zachlhb
        20
    zachlhb  
       2020-08-23 20:40:21 +08:00 via Android
    为啥我没试出这个漏洞,我访问是 404
    guanhui07
        21
    guanhui07  
       2020-08-23 20:59:17 +08:00
    没用过 不喜欢用这种
    whileFalse
        22
    whileFalse  
       2020-08-23 21:05:56 +08:00
    怎么说呢,功能丰富、售价低廉、安全性高三者最多可以满足两条,甚至有很多产品只满足一条。虽然没用过宝塔,不过他似乎可以算是功能相对丰富,价格比较低廉的。

    再回到 LZ 的陈述上,“准备逐渐转移到 OneinStack 、LNMP”。你说的这两者和宝塔根本不是一个级别的。
    Tink
        23
    Tink  
       2020-08-23 21:25:26 +08:00 via iPhone
    公司确实不允许使用这类集成 web 环境
    evilStart
        24
    evilStart  
       2020-08-23 23:03:19 +08:00 via Android
    楼主是自己用还是公司用?现在基本都上云了吧,不太需要自己搭基础环境,很少需要这类面板了。除非是企业内部的产品。
    bfme
        25
    bfme  
       2020-08-24 00:22:45 +08:00 via Android
    有漏洞详细介绍吗?
    vc1
        26
    vc1  
       2020-08-24 00:32:14 +08:00 via Android
    前面套个 nginx,加 http basic 认证,可缓解很多问题
    igfw
        27
    igfw  
       2020-08-24 00:39:19 +08:00 via iPhone
    以前用 lnmp,感觉稍微麻烦一点对小白。
    后来换成宝塔了,幸亏不是 7.4.2 版本
    Mac
        28
    Mac  
       2020-08-24 00:57:22 +08:00
    宝塔的客服水平太垃圾,曾经递交一个 BUG,被客服说早就修复了给关了。结果 2 个月后,其他人又发现这个 BUG,才信他们真的没修复这个 BUG 。
    raaaaaar
        29
    raaaaaar  
       2020-08-24 01:28:54 +08:00 via Android
    刚入门的时候用过一次,搭了个博客,不过一出问题就嫌麻烦,就自己折腾了。

    小白入门可以折腾下,正式上线谁用这玩意,起码也找个开源的啊。
    XsterreX
        30
    XsterreX  
       2020-08-24 01:30:35 +08:00 via Android
    以前看了下宝塔,大致了解下,觉得这东西不可控因素太大,弃了没敢用
    webshe11
        31
    webshe11  
       2020-08-24 01:35:08 +08:00
    给小白用的,V 站大部分人应该不会用这个吧
    vteng
        32
    vteng  
       2020-08-24 01:48:48 +08:00 via iPhone
    没有生产环境会用宝塔的吧
    Lightbright
        33
    Lightbright  
       2020-08-24 02:01:57 +08:00 via Android
    @vteng 事实上生产环境不仅会用,甚至某些 gov 网站的生产环境都在用
    herozzm
        34
    herozzm  
       2020-08-24 02:04:13 +08:00
    已经开始就信任过,都是命令行走起
    interim
        35
    interim  
       2020-08-24 02:09:22 +08:00   ❤️ 8
    @love win 的 gui 是恶习?开什么历史的倒车?不分使用环境、使用人员直接来一句 gui 是陋习,也是没谁了
    ivesun
        36
    ivesun  
       2020-08-24 02:19:39 +08:00 via Android
    这次漏洞我第一时间把自己的几个小站点试了下,都没发现问题,才想起来,我没装 phpmyadmin 或者装了没运行,毕竟用的太少了。。。
    akira
        37
    akira  
       2020-08-24 03:49:54 +08:00
    从来就不信赖类似的面板
    jinhan13789991
        38
    jinhan13789991  
       2020-08-24 09:07:50 +08:00 via Android
    Docker 不香吗?
    ajaxfunction
        39
    ajaxfunction  
       2020-08-24 09:08:48 +08:00
    宝塔市场份额 比其他几家加起来的和都要多很多,这个不用,那个也不用,那到底谁在用?
    Curtion
        40
    Curtion  
       2020-08-24 09:30:30 +08:00
    一直用的 amh,好多年了
    yuanchao
        41
    yuanchao  
       2020-08-24 09:47:58 +08:00
    一直在用 oneinstack
    Hyouka
        42
    Hyouka  
       2020-08-24 09:51:17 +08:00
    几个 VPS 都用了...都是 7.4.2 的,不过无所谓...没生产环境...
    都是搭建测试用的东西;
    lbp0200
        43
    lbp0200  
       2020-08-24 09:52:24 +08:00
    我很奇怪,这货的安全性,现在才有人重视
    shuigui
        44
    shuigui  
       2020-08-24 09:56:45 +08:00
    应该没人在公司业务中用吧,学生时看简介尝试用过一次,觉得没什么用后面就没关注了
    Stlin
        45
    Stlin  
       2020-08-24 09:58:45 +08:00
    没装过,我总觉得这东西在机子上跑会占一部分运存呢?装了也就看看机子的运行状态、一些信息之类的,感觉没啥必要,一般都是用命令管理的
    xinyana
        46
    xinyana  
       2020-08-24 09:59:15 +08:00
    还会继续用,因为有点漏洞对我来说无所谓
    1.数据不太重要
    2.每天备份
    3.确实方便
    SilencerL
        47
    SilencerL  
       2020-08-24 10:04:04 +08:00
    @love #18 看了你的回复记录我发现你就是张口就来的绝佳典范.
    eth
        48
    eth  
       2020-08-24 10:05:24 +08:00
    一直再用 oneinstack
    msg7086
        49
    msg7086  
       2020-08-24 10:10:12 +08:00
    面向外行的工具和面向内行的工具本来就不一样。
    该用的人还是会继续用,不用的人还是一样不用。
    Vegetable
        50
    Vegetable  
       2020-08-24 10:13:49 +08:00
    从来就没信任过好吧,我的常识告诉我,这种会把管理权限暴露在 web 端口的工具,就不可能百分百安全。
    keepeye
        51
    keepeye  
       2020-08-24 10:16:08 +08:00
    这种面板用户群体应该是那些不熟悉 linux 又觉得 linux 好的人,像很多小站长之类的。
    sparrww
        52
    sparrww  
       2020-08-24 10:20:02 +08:00
    反正数据每天异地备份,个人小站,用这个图个方便,这种 bug 无所谓。公司还是慎用,最起码搞个内网访问
    ScotGu
        53
    ScotGu  
       2020-08-24 10:34:09 +08:00   ❤️ 7
    因噎废食?
    ssh 也有过漏洞,CPU 硬件级漏洞岂不是要回归蒸汽时代?
    lewis89
        54
    lewis89  
       2020-08-24 10:38:02 +08:00   ❤️ 1
    @chnyuwen #33 运维这个场景,说实话 GUI 真是陋习,大部分针对服务器开发的东西 基本上不会提供良好的 GUI 程序,而且随着功能升级 GUI 也要跟着变动,有这个资源跟闲时间去画 GUI 应该把好钢用到刀刃上才是,知名的开源服务端项目 基本上不提供 GUI 界面,例如 Nginx Mysql-server 之类的,而且使用这些软件,基本上开发者就已经默认你是专业相关的人士了
    zxcslove
        55
    zxcslove  
       2020-08-24 10:39:19 +08:00
    说风凉话容易,倒是推荐一个能大致替代的产品啊。命令行优势在于互操作性,图形交互的便利是敲命令能替代的?
    imaning
        56
    imaning  
       2020-08-24 10:50:04 +08:00
    楼上一堆人说没人用的,很多个人站长、中小企业都在用,因为专业运维对他们来说,是一笔不小的开支,但是又仅仅是跑一下 web 站,如果安排一个专业的运维来,技术成本和自己成本都太高,所以用的人多了去了。

    在中国这种英语环境下,你想所有人都能使用命令、使用 Linux,那是不可能的。这里是程序员社区,当然很多人不用这种带界面的平台,但是,中小企业,个人开发者,为了快速配环境,宝塔这种面板,十分钟就能解决。
    paoqi2048
        57
    paoqi2048  
       2020-08-24 10:52:45 +08:00
    所以有什么好的替代品么?
    gabezhao
        58
    gabezhao  
       2020-08-24 10:52:58 +08:00
    开发用一下可以呀
    heyjei
        59
    heyjei  
       2020-08-24 10:53:22 +08:00
    用过一次宝塔,确实方便,比自己一行行敲命令方便多了。
    fengtalk
        60
    fengtalk  
       2020-08-24 10:59:26 +08:00
    OneinStack +1,确定挺好用的。装好以后就几个常用的命令。
    如果是 Windows 环境,可以试试 PHPTS 。
    momocraft
        61
    momocraft  
       2020-08-24 11:00:03 +08:00
    从上面回复来看,根本不是因为信赖才用的

    要目标人群换个学不来的等于自砸饭碗
    ruyu
        62
    ruyu  
       2020-08-24 11:07:11 +08:00
    可是为什么要用它呢, Linux 也不是很难学啊, 再不济还有 Docker 呢
    fengchang
        63
    fengchang  
       2020-08-24 11:10:59 +08:00
    我试过一次,忘了是因为什么需求不能满足,好像和 nginx 反代 docker 有关,就放弃了。lnmp 配置对我来说不麻烦,但是有个面板感觉还是舒心很多,逃过一劫啊。
    opengps
        64
    opengps  
       2020-08-24 11:11:11 +08:00
    改用还得用,该防还得防。
    及时用自己做的面板漏洞其实更多,只是“眼不见为净”而已
    我网站由于全是自己写的代码,所以有人曾说我“无招胜有招”,因为不是通用的框架的攻击类型
    colorfulberry
        65
    colorfulberry  
       2020-08-24 11:42:39 +08:00
    服务器的理想是非必要不安装,非必要不开通。及时升级。
    meiyoumingzi6
        66
    meiyoumingzi6  
       2020-08-24 12:01:17 +08:00
    没用过都是自己手改.............
    ihugo
        67
    ihugo  
       2020-08-24 12:20:42 +08:00
    昨天晚上吓得爬起来看了下,没中招就安心的睡了
    GeekSky
        68
    GeekSky  
       2020-08-24 12:27:24 +08:00
    我喜欢全部自己手动精细化配置服务器,不喜欢这种东西,面板这玩意个人认为适合刚入门的新手。
    huaxing0211
        69
    huaxing0211  
       2020-08-24 12:31:19 +08:00
    从不用面板,都是自己单独安装环境。
    ysicing
        70
    ysicing  
       2020-08-24 12:52:00 +08:00   ❤️ 6
    感觉可以看看 p 神写的分析 宝塔面板 phpMyAdmin 未授权访问漏洞是个低级错误吗? https://mp.weixin.qq.com/s/3ZjwFo5gWlJACSkeYWQLXA
    sun019
        71
    sun019  
       2020-08-24 13:57:51 +08:00
    自己测试用 挺好挺方便
    至少 这东西的架构方式 以及产品,还是值得学习的
    LANB0
        72
    LANB0  
       2020-08-24 14:01:08 +08:00
    刚看了下,给小侄子玩儿的轻量云还在 5.9.2,话说这种东西干嘛这么追新
    nooper
        73
    nooper  
       2020-08-24 14:23:08 +08:00
    不用,都用 jumphost,加 vpn,限制及其严格。外加 MFA
    xiaket
        74
    xiaket  
       2020-08-24 14:31:32 +08:00
    说句政治不正确的话, 我不信任用 php/javascript 写的后端程序.
    binggg
        75
    binggg  
       2020-08-24 14:45:46 +08:00
    只要是自己维护管理服务器,不可避免都可能会发生这种事情
    binggg
        76
    binggg  
       2020-08-24 14:46:28 +08:00
    都 0202 年了,推荐使用免运维的云开发 CloudBase,一键享受 Serverless 架构

    github.com/TencentCloudBase/cloudbase-framework
    Famio
        77
    Famio  
       2020-08-24 15:04:20 +08:00
    我是骄傲的 appnode 用户
    nnnToTnnn
        78
    nnnToTnnn  
       2020-08-24 15:47:01 +08:00   ❤️ 1
    @chnyuwen 35L 我实在搞不清 gui 能带来什么?

    - 操作方便。 命令行 完胜。
    - 方便排错。 命令行 完胜。
    - 操作简单。 命令行 完胜。
    - 学习难度。 命令行 完胜。
    - 美观度。 GUI 完胜。

    真的不明白,除了美观,GUI 没有哪些是强过命令行的。 使用命令行的
    xiongsa18
        79
    xiongsa18  
       2020-08-24 15:58:25 +08:00
    该用还是用,方便简单快捷,修改下安全端口,非必要服务不安装,跑个 web 还是美滋滋。
    azoon
        80
    azoon  
       2020-08-24 16:01:56 +08:00
    @xiaket 然而宝塔是 python 写的
    Redbeanw
        81
    Redbeanw  
       2020-08-24 16:16:28 +08:00
    今年除夕夜宝塔把我惹恼了,然后一气之下换了 Oneinstack
    别说,真滴好用,用到现在没打算换过。
    我觉得吧呵呵,要是连 shell 都懒得打的人,建 nm 的站呢?
    jzphx
        82
    jzphx  
       2020-08-24 16:18:22 +08:00
    跟不上时代步伐还在用 lnmp,每次折腾环境都得翻出旧帖子
    muzuiget
        83
    muzuiget  
       2020-08-24 16:36:52 +08:00
    从来不用这种面板,尤其是能从 web 执行 shell 命令的。
    HertzHz
        84
    HertzHz  
       2020-08-24 16:37:28 +08:00
    @nnnToTnnn 学习难度、操作方便 /简单明明是 GUI 完胜。GUI 显然可以带来更加快速、方便的操作环境,10 分钟就能搭起一个 Web,改配置也更加方便。追求简单的操作难道不正常吗?(利益相关:前宝塔用户,前前 apt-get nginx 用户,现云服务 serverless 托管用户
    HertzHz
        85
    HertzHz  
       2020-08-24 16:40:14 +08:00   ❤️ 4
    CLI GUI 各有优势,大家各有喜好,这 CLI 用户也能歧视 GUI 了吗。CLI GUI 互补岂不美哉?连自己命令行装 LNMP 都能装出优越感来了吗
    iyaozhen
        86
    iyaozhen  
       2020-08-24 16:43:10 +08:00
    这些面板不是问题 问题是不应该开放到外网,不过这点很多公司做不到,基础 IT 设施不完善
    tairan2006
        87
    tairan2006  
       2020-08-24 16:52:15 +08:00
    现在不都是直接 docker 跑么……
    starqoq
        88
    starqoq  
       2020-08-24 16:59:25 +08:00
    只用过 window admin center 。微软爸爸出品。
    如果出了问题,那说明这种管理面板就是会出问题的。没办法的。
    zlllllei
        89
    zlllllei  
       2020-08-24 17:20:19 +08:00
    @lewis89 人家都说了,不分使用环境、使用人员直接来一句 gui 是陋习,这句话不对。你自己再加个在运维这个场景然后去反驳他 GUI 真的是陋习。
    CSGO
        90
    CSGO  
       2020-08-24 17:22:34 +08:00
    个人用户,不是开发者,我用的很便捷。
    dallaslu
        91
    dallaslu  
       2020-08-24 17:25:34 +08:00
    @chnyuwen 人家只提了恶习,你却非扯什么开历史的倒车。邪恶的政治隐喻。
    AsahiHuang
        92
    AsahiHuang  
       2020-08-24 17:26:27 +08:00
    @nnnToTnnn 照你这么说人类应该放弃 Windows 和 macOS
    dallaslu
        93
    dallaslu  
       2020-08-24 17:27:55 +08:00
    @zlllllei ???这帖子不是在讨论宝塔面板吗?这不算是运维环境吗?
    dallaslu
        94
    dallaslu  
       2020-08-24 17:28:53 +08:00
    @AsahiHuang 不分使用环境、使用人员直接来一句人类应该放弃 Windows 和 macOS,也是没谁了
    yanyueio
        95
    yanyueio  
       2020-08-24 17:33:19 +08:00
    @nnnToTnnn 可能楼主只是不熟悉,不习惯 terminal.

    方便的同时也会引入漏洞,没有银弹。

    类似的情况还有,你的网页引用别人的 js 脚本,给 wordpress 安装很多看似信得过的插件, 给 android 手机上安装不熟悉的开发者的 app 还给了它要的权限 and etc.

    btw: 我是命令行π。
    xiaket
        96
    xiaket  
       2020-08-24 17:34:17 +08:00
    @azoon pma
    doublie
        97
    doublie  
       2020-08-24 18:02:03 +08:00
    该用还是得用啊
    毕竟宝塔解决了好多的需求
    Depth
        98
    Depth  
       2020-08-24 18:03:00 +08:00
    宝塔挺好用的,以后会继续用,如果出过一次问题就不用的态度,不看原因。
    那一段时间之后,岂不是要自己开发了。
    https://mp.weixin.qq.com/s/3ZjwFo5gWlJACSkeYWQLXA
    doublie
        99
    doublie  
       2020-08-24 18:03:56 +08:00
    拒绝犯低级错误
    liuzhaowei55
        100
    liuzhaowei55  
       2020-08-24 19:01:20 +08:00 via iPhone
    希望论坛的很多看客不会因为上边大佬们的一番看法就把宝塔卸载了。。。
    1  2  
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   3202 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 34ms · UTC 04:35 · PVG 12:35 · LAX 21:35 · JFK 00:35
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.