严重漏洞宝塔7.4.2

前言

讲真，我真的挺庆幸这个BUG能在这个时候被发现，而不是在8月30号以后，也就是我开学了。如果要是在我开学之后发现了这个BUG，我直接裂开来。 虽然我平常有做快照的习惯，但是PhpMyAdmin的日志记录我倒是没有开启过。不过也好在我的PhpMyAdmin默认端口不是888 但是如果真要查，端口扫几下就能扫出来了。所以我挺庆幸的。

政府的数据库（也就是gov.cn）的一些数据库有些都给删了，这我觉得也是一个十分严重的问题了。

宝塔PhpMyAdmin漏洞

漏洞

请勿随意使用并且修改别人的库，如果你想活久一点。

这个漏洞原理很简单，而且操作难度太低了。简简单单按照端口加参数就可以访问，根本没有难度需求 导致某些xxs直接进入一些库然后开始不正当行为操作了。

本来这个BUG知道的人并不是特别多，但是在群里面说的人多了起来传的就很广。

解决

由于我Hexo不需要数据库，所以我也没有开放888端口，所以这个事情对我影响不大。

1. 7.4.2版本宝塔用户尽快升级到7.4.3哦
2. 关闭888对外端口开放
3. 更改888默认端口（最好没事别开放了）
4. 设置域名访问，不允许除白名单外任何IP访问

好了，水完了。准备祝贺我开学吧