“宝塔面板”机房故障,正在紧急抢修
8月9日消息,服务器运维软件“宝塔面板”官网今日发布通知:因机房故障导致宝塔业务受影响,机房正在紧急抢修,稍后恢复。影响范围:安装、面板绑定账户、注册、购买、续费 (当前已安装的面板不受影响)。
10点40分: 所处机房楼层网络硬件模块损坏,机房正在尝试更换网络设备
12点30分: 机房无法确认维修设备时间,当前方案为搬迁网络机柜到其他网络正常的楼层
14点00分: 机房已经按新的恢复方案以最快的速度处理中,请耐心等待,给您带来不便,深感歉意。
15点20分: 大机房内部流程稍微有些多,我们一分钟催一次,他们也需要一些时间处理,非常抱歉,给您带来不便(我们也安排了一组人去机房等候,正常情况下不需要我们参与,以备不时之需)
—— 宝塔面板
宝塔面板的官方Demo疑被黑,HostLoc的网友认为这似乎印证了近期宝塔面板存在重大漏洞的传言。宝塔面板此前曾发布公告称“经过排查没有发现漏洞”。该Demo已经下线。HostLoc
宝塔官方回复用户疑问,说DEMO没有防护,而且能登陆要改很容易。否认这是由于安全漏洞造成的。
有用户发现宝塔面板最新版增加了新的上报后门,能获取用户的IP且更为隐蔽
今天对比了一下最新版7.9.4的宝塔面板(宝塔的开发习惯是即使是同一个版本号,也会不断更新文件)。发现了一个js文件比较可疑,经过分析后得出,是宝塔最新增加的上报后门,可以上报用户自己的IP和端口(非服务器的)
js文件路径:/panel/BTPanel/static/laydate/laydate.js
根据文件时间戳,可知是10月9日更新的。
这个文件本身是layer的日期显示组件,但是宝塔在最后加入了一段eval加密的js,但是这种加密很容易解。
—— ccclt@hostloc
关注宝塔面板已绑服务器IP
V2EX的kincaid友情提示,宝塔不自动解绑服务器,大家不用的该解绑解绑,该用户登陆宝塔官网后台看了一下,发现从开始用宝塔至今所有 IP 都是绑定状态,一直没看见宝塔提示过解绑这个东西。
如果服务器已经不用务必解绑,以免莫名被传唤了。
知名建站面板宝塔陷入隐私风波
Hostloc 的网友发现宝塔面板的开源代码中发现向远程服务器发送信息的功能。备注标识为“从云端验证域名的可用性”。该功能收集的信息可能比它声称的要多。用途令人疑虑。
日志每1小时打包一次,格式如下:
[“2022-05-06 01:58:10”, “你的 IP(非服务器 IP):1000”, “POST”, “/login?”, “用户 UA”, “{}”, 39]
宝塔面板腾讯云专享版发布活动在今天9点钟开始。可以获得堡塔APP插件1~3年,腾讯云轻量应用服务器1核2G5M 90元/年。
https://www.bt.cn/tencent_plugin
(链接无AFF,无组队)
要组队可以到群里来看看:@vps_xinhaoqi
关于宝塔面板疑似漏洞的官方最新跟踪信息停留在28日19:45分:
根据现有所有汇聚线索,我们安全技术深入排查,没有找到具体的漏洞,补天等漏洞平台,依然没人提交。我们继续持续跟进。
宝塔面板再次爆出重大漏洞:据了解漏洞被某大佬通过在某ctf竞赛现场演示,漏洞覆盖全部windows版本和安装了任何插件的linux版本。目前官方已经删除了初次的公告,最新的公告要求用户等待。
官方称正在排查传言中的漏洞,但目前没有进展,也没有任何人向宝塔提交这个漏洞。如果这个漏洞是真实存在的,那么它将会是有史以来最为严重的零日漏洞。