寶塔面板出現重大漏洞，存在可以通過特定地址繞過身份驗證訪問服務器數據庫的風險，部分網站已經中招，服務器有使用寶塔linux面板 7.4.2以及寶塔windows面板 6.8版本的站長們需要緊急升級!

了解到，這次寶塔面板出現的BUG很嚴重，主要出現在寶塔linux面板 7.4.2以及寶塔windows面板 6.8版本，其他版本暫時安全。

據說，借助寶塔面板的這次BUG漏洞，可以直接繞過身份驗證進入網站服務器的數據庫，一旦被黑客盯上有可能被直接刪庫破壞所有數據，造成網站癱瘓，目前已經有多個網站中招，數據庫被清空!

其中一個中招的站長留言表示：我他媽的忘記備份了，我這個備份的數據是8.6號的，已經隔了20多天了，而我就是這20多天每天更新了幾百篇文章這些天累計上千篇文章了，數據全部沒了，沒記得備份，那個sb東西直接把老子數據庫給清空了，我真想捶死他。

隨后開發商寶塔安全也緊急發布通知短信告知：

Linux面板7.4. 2 版本/Windows面板6. 8 版本出現漏洞，存在數據庫被黑客篡改和刪除等安全隱患，官方已發布緊急更新，有使用寶塔面板Linux面板7.4. 2版本/Windows面板6. 8版本的站長們，趕緊登錄面板后臺緊急升級下，防止網站數據出現問題。

昨晚8點 寶塔發布官方平臺短信

一、漏洞細節：

凡是在寶塔面板安裝了phpmyadmin數據庫管理軟件

只要通過對應方法，無需用戶名密碼即可操作數據庫

其中888為默認端口，若自定義端口，便可能是其它端口，可以自行測試有沒有該漏洞

http://ip:888/pma/

與此同時，寶塔官方發布了寶塔面板7.4.2的手動更改API鑒權破解方法

該漏洞可以使其他人無需鑒權就能進入數據庫改數據或刪庫

萬萬沒想到，昨天有人拿這個漏洞去入侵Gov的網站。還給Gov網站首頁改了。

我就問這名黑客，你怎么不懂事，你媽知道嗎？

黑客要了66的紅包，要不然，不將數據還給事主？

您這波操作，66元太少了，我給你個666~~~

這一幫人還組個群，

有多囂張，用gov網站數據庫，當聊天室！！！開啟聊天模式。

黑客判刑多久是法律上怎么規定的?

中國是世界上較早規定黑客有罪應當予以刑事處罰的國家。近幾年世界發生的事件，證明了中國法律打擊黑客是正確的。在國外，由于黑客攻擊日益頻繁，許多國家反對黑客，要求立法制裁黑客的呼聲一日高過一日。

刑法明確規定黑客有罪：

《刑法》285條規定：“違反國家規定，侵入國家事務、國防建設、尖端科學技術領域的計算機信息系統的，處三年以下有期徒刑或者拘役”。最高人民法院于1997年12月確定上述罪行的罪名為“非法侵入計算機信息系統罪”。

想說的話，用一張圖表示

二、寶塔影響范圍:

1. 寶塔 linux 面板 7.4.2

2. 寶塔 windows 面板 6.8

3. 安裝了 phpmyadmin。（其他版本不影響）

根據目前FOFA系統最新數據（一年內數據），顯示全球范圍內（app="寶塔-Linux控制面板"）共有 2,592,629 個相關服務對外開放。美國使用數量最多，共有 1,279,856 個；中國大陸第二，共有 461,268 個；中國香港第三，共有 401,294 個；南非第四，共有 238,695 個；澳大利亞第五，共有 19,850 個。中國大陸地區浙江使用數量最多，共有 93,211 個；北京第二，共有 54,557 個；廣東第三，共有 14,903 個，廣西第四，共有 6,492 個；江蘇第五，共有 5,781 個。

全球范圍內分布情況如下（僅為分布情況，非漏洞影響情況）

三、解決方法:

• 升級7.4.3即可解決，官方鏈接:

  https://www.bt.cn/bbs/thread-54666-1-1.html

• 通過修改 pma 配置文件，屏蔽對應端口，關閉公共訪問權限等方法也可解決。

本文鏈接：http://www.sztqnet.com/article/955.html