前言

讲真,我真的挺庆幸这个BUG能在这个时候被发现,而不是在8月30号以后,也就是我开学了。如果要是在我开学之后发现了这个BUG,我直接裂开来。
虽然我平常有做快照的习惯,但是PhpMyAdmin的日志记录我倒是没有开启过。不过也好在我的PhpMyAdmin默认端口不是888
但是如果真要查,端口扫几下就能扫出来了。所以我挺庆幸的。

政府的数据库(也就是gov.cn)的一些数据库有些都给删了,这我觉得也是一个十分严重的问题了。

宝塔PhpMyAdmin漏洞

漏洞

请勿随意使用并且修改别人的库,如果你想活久一点。

这个漏洞原理很简单,而且操作难度太低了。简简单单按照端口加参数就可以访问,根本没有难度需求
导致某些xxs直接进入一些库然后开始不正当行为操作了。

本来这个BUG知道的人并不是特别多,但是在群里面说的人多了起来传的就很广。

解决

由于我Hexo不需要数据库,所以我也没有开放888端口,所以这个事情对我影响不大。

  1. 7.4.2版本宝塔用户尽快升级到7.4.3哦
  2. 关闭888对外端口开放
  3. 更改888默认端口(最好没事别开放了)
  4. 设置域名访问,不允许除白名单外任何IP访问

好了,水完了。准备祝贺我开学吧