目录
前言
关于宝塔安全漏洞的声明:https://www.bt.cn/bbs/thread-61706-1-1.html
宝塔再现通杀漏洞:https://www.hostloc.com/thread-789572-1-1.html
简要
部分专业人士表示可以通关插件漏洞直接进入宝塔面板
“有大佬现场演示(某ctf竞赛)
windows新旧版本通吃
Linux需要安装任一插件
在plugin下 不细说了
即便你删除了这个文件夹
temp目录下仍然可以
双重打击……”
建议采取以下措施
多重备份
可以使用定时任务+网盘插件
修改SSH端口和BT端口
不用使用默认的22SSH和8888BT端口
增加宝塔面板IP白名单限制
也可以使用没有解析的域名(用host)或者NGINX白名单
防火墙端口白名单模式/NGINX白名单模式
如果你有稳定的IP,可以直接对该IP使用端口全开,把22这种端口直接关掉(用白名单IP连就行)
宝塔面板加固插件
关闭宝塔面板
停止面板:bt stop
启动面板:bt start
服务器快照备份
大部分中大厂都有提供免费/便宜的快照
定期备份到本地
博客类一般备份数据库即可,其他打包一下也不难,毕竟用的图床
使用莉塔面板
一定程度上抵抗官方漏洞,后门,控制