宝塔面板的善与恶：宝塔国内版收集用户服务器隐私数据

图/文：迷神

国内的某些公司做着做着就喜欢动些歪脑筋，手脚总是不那么干净，居心不可谓不险恶。

几天前各大论坛贴满了关于宝塔后门搜集隐私信息的帖子，网友附上了详细的宝塔搜集信息并上传到服务器的代码和 *** 作流程，附带搜集信息的证据。我虽然对宝塔面板无感，但是手里的也服务的客户使用了宝塔，于是上去查看了一番，果然，发送的日志位于：

/>手机防火墙是经常使用的一种智能手机软件，他能拒接黑名单中的电话和短信。
手机来电防火墙的原理是目标手机接收到信号通知后查询黑名单列表来决定是挂断还是振铃，就是把原本的人手工挂断做了一个自动化，即自动挂断，所以黑名单上人物来电时均显示的是忙音，但不是一拨通就是忙音，而是响过一至二声后才出现的忙音。
宝塔面板网站防火墙是基于nginx/apache模块开发的一套应用层防火墙，能有效阻止大部分渗透攻击，且提供高度自由的规则自定义功能，为站点加一道铜墙铁壁。主要目的是从源头阻止站点被挂马的事情发生。目前宝塔官网和官方论坛一直都在使用宝塔网站防火墙，效果良好。
宝塔面板防火墙是一个防火墙程序，用于在宝塔面板中防御服务器外来攻击使用的。根据环境服务软件的不同，分为nginx防火墙和apache防火墙。
宝塔面板防火墙其实管理的是 *** 作系统自带的防火墙。不过系统防火墙属于命令行查看、设置、执行，对很多用户不够友好，宝塔面板把命令行变成了可视化界面，点击鼠标就可以轻松设置防火墙了。

重新设置。
遇到宝塔面板登录不上情况，首先检查下您的用户名和密码是否输入正确，如果是因为账户信息输入错误导致的登录失败，那么重新输入正确的用户名密码进行登录即可。
如果宝塔面板账户信息输入没有问题，可查看下您是否在安全组开启了8888放行端口，有的还需要开放443/888/80/20/21端口等。若宝塔面板8888端口已经放行，您需要注意看下登录面板的浏览器页面兼容模式是否开启了极速模式，如果没有则重新设置为极速模式。

昨天群友爆料，宝塔面板出现重大漏洞，存在可以通过特定地址绕过身份验证访问服务器数据库的风险，部分网站已经中招，服务器有使用宝塔linux面板 742以及宝塔windows面板 68版本的站长们需要紧急升级!
了解到，这次宝塔面板出现的BUG很严重，主要出现在宝塔linux面板 742以及宝塔windows面板 68版本，其他版本暂时安全。
据说，借助宝塔面板的这次BUG漏洞，可以直接绕过身份验证进入网站服务器的数据库，一旦被黑客盯上有可能被直接删库破坏所有数据，造成网站瘫痪，目前已经有多个网站中招，数据库被清空!
其中一个中招的站长留言表示：我他妈的忘记备份了，我这个备份的数据是86号的，已经隔了20多天了，而我就是这20多天每天更新了几百篇文章这些天累计上千篇文章了，数据全部没了，没记得备份，那个sb东西直接把老子数据库给清空了，我真想捶死他
随后开发商堡塔安全也紧急发布通知短信告知：Linux面板74 2 版本/Windows面板6 8 版本出现漏洞，存在数据库被黑客篡改和删除等安全隐患，官方已发布紧急更新，有使用宝塔面板Linux面板74 2 版本/Windows面板6 8 版本的站长们，赶紧登录面板后台紧急升级下，防止网站数据出现问题。
随着很多用宝塔的站长都在群里证实自己收到宝塔的升级短信，再加上官方出面发布声明，看来宝塔面板出现严重漏洞是实锤了，如果服务器有使用宝塔的站长们还是抓紧升级下，万一中招，网站被被删库或劫持就得不偿失了。
经此一役，站长们以后数据备份可要勤快点了!
来源：卢松松博客

---