软件宝塔面板功能：服务器管理

软件宝塔面板 软件功能：服务器管理 支持平台：#Windows #Linux 软件简介：宝塔面板是一款轻量级的服务器管理软件。它提供了方便的服务器管理界面,用户可以通过浏览器很简单地完成服务器的管理和维护工作。 主要功能： ◉ 网站管理:支持网站创建、删除、设置域名、设置端口、设置目录等 ◉ 数据库管理:支持 MySQL、SQLServer、PostgreSQL 等数据库的管理 ◉ FTP 管理:提供 FTP 用户和用户组管理,支持虚拟用户和系统用户 ◉ 文件管理:提供方便的文件管理界面,支持文件上传、下载、压缩、解压以及权限修改等功能 ◉ 操作日志:记录服务器的操作日志 ◉ 进程管理:可以查看服务器正在运行的进程 ◉ 监控报警:提供实时的 CPU、内存、硬盘、网络等服务器监控 ◉ 计划任务:支持自定义脚本和命令 软件下载：点击下载 使用教程：点击打开

重要: 宝塔 WAF 防火墙存在 SQL 注入漏洞，攻击者可通过漏洞执行任意指令

重要: 宝塔 WAF 防火墙存在 SQL 注入漏洞，攻击者可通过漏洞执行任意指令 最近在V2EX上有用户报告发现了一个关于宝塔 WAF 的SQL注入漏洞。在测试宝塔WAF的未授权访问漏洞时，作者无意中发现了一个可以执行任意SQL语句的SQL注入漏洞。这个漏洞存在于宝塔WAF的get_site_status API中，由于server_name参数没有进行适当的校验，直接被用于SQL查询，从而导致了SQL注入的风险。 漏洞原理：这个宝塔SQL注入漏洞的原理基于对server_name参数的不当处理。在宝塔 WAF 的get_site_status API中，server_name参数没有进行适当的校验和清洗，直接被用于构造SQL查询。这种处理方式使得攻击者可以通过构造恶意的server_name参数值来操纵SQL语句，从而实现SQL注入攻击。 通过构造特定的请求，作者成功地利用这个漏洞执行了SQL命令，包括获取数据库名称和MySQL版本信息，以及执行任意SQL查询。这表明攻击者可以利用这个漏洞对数据库进行任意操作 官方响应：目前宝塔官方尚未对这个问题进行公开回复，可能已通过暗改方式修复，但用户仍需要注意 安全建议： 1. 宝塔用户应该立即检查自己的系统，看是否存在被这个漏洞利用的迹象。 2. 关注宝塔官方的通告和更新，及时安装最新的安全补丁。 3. 考虑采取额外的安全措施，比如使用第三方的安全工具来增强WAF的防护能力。 注：用户卸载 WAF 也可避免该问题 参考信息：

速报：宝塔面板疑似出现全新高危漏洞，目前已出现大面积入侵

速报：宝塔面板疑似出现全新高危漏洞，目前已出现大面积入侵 影响版本：7.9.6及以下且使用nginx用户 风险等级：极高 处置建议: 停止使用BT面板且更换阿帕奇 [宝塔官方建议暂停面板] 排查方式: /www / server/ nginx/ sbin 目录下文件 1. nginx 11.80 MB 2. nginxBak 4.55 MB[备份] 3. nginx 4.51M [木马] 特征: 1.大小4.51 2.时间近期 3.nginx＆nginxBAK双文件 入侵者通过该漏洞拥有root权限，受限于面板高权限运行，修改宝塔各种账号密码+SSH账号密码均为无效。 入侵者可以修改nginx配置文件+数据库文件+网站根目录文件 站点可能出现大量日志同时CPU异常占用，暂不清楚漏洞点，切勿随意点击清除日志按钮 注: 大量新装用户反馈出现挂马，目前BT官方源可能出现问题，建议暂停安装