草稿:宝塔面板
您所提交的草稿仍需改善。在2023年12月30日由Newbamboo (留言)审阅。
如何改善您的草稿
|
宝塔面板 (国际版叫做 aaPanel)成立于 2017 年[1],是一个商业化的 Windows / Linux 服务器运维面板。由广东堡塔安全技术有限公司开发运营。
宝塔面板可以使用 Web 一站式的管理服务器,时时看到服务器的负载状态、CPU 使用率、内存使用率、硬盘空间占用情况、时时流量、磁盘 IO 速度次数延迟等。同时,还可以管理纯静态 HTML、PHP、Java、Node、Golang、Python 等项目,以及 MySQL、SQLServer、MongoDB、Redis、PgSQL 数据库。
宝塔面板因为方便性,以及包括中国大陆云计算厂商阿里云、腾讯云、华为云等,推出的轻量应用服务器、云服务器等产品,带有的镜像有包含了 “宝塔 Linux 面板”,加上宝塔 Linux 面板只需使用一行命令即可完成安装[2],以及许多开源项目推出的教程都以 “宝塔面板” 为题,也造就了宝塔面板在中国大陆的运维面板的 “龙头老大” 地位,宝塔面板也成为了许多站长新手小白入门使用的服务器运维面板。
支持语言
宝塔面板目前仅支持简体中文。
aaPanel(宝塔面板国际版)目前仅支持英语。
发展历程
宝塔面板发展历程[3]
2014 年
2014 年 12 月
开始筹备服务器管理助手的相关工作
2015 年
2015 年 04 月
Windows 服务器管理助手(现宝塔 Windows 面板)进入研发及测试阶段
2015 年 08 月
正式发布 Windows 服务器管理助手 1.1 版本
2016 年
2016 年 03 月
正式发布基于 C# 开发的 Windows 服务器管理助手 2.0
2016 年 04 月
正式启用 bt.cn 作为宝塔的官网
2016 年 05 月
正式发布 Linux 服务器管理助手 1.1 版本
2016 年 09 月
Linux 服务器管理助手更名为宝塔 Linux 面板
Windows 服务器管理助手更名为宝塔 Windows 面板
2017 年
2017 年 02 月
正式发布基于 Python 开发的宝塔 Linux 面板 3.0 版本
完成宝塔的天使轮融资
启用广东堡塔安全技术有限公司作为宝塔面板的公司主体
2017 年 05 月
正式发布采用全新 UI 体系的宝塔 Linux 面板 4.0 版本
2017 年 07 月
发布宝塔 Linux 面板 5.0 正式版本
2017 年 09 月
与阿里云云市场深度合作
2017 年 10 月
与京东云云市场深度合作
2018 年
2018 年 06 月
宝塔 Linux 面板专业版发布
2018 年 09 月
宝塔 Linux 面板 6.0 测试版发布
2019 年
2019 年 07 月
堡塔云控平台发布
发起首届 724 运维节活动,宣称 “感恩那些每周7天每天24小时随时待命默默付出的运维人”
2019 年 12 月
通过高新技术企业认证
2020 年
2020 年 02 月
将原有的企业运维版正式升级为企业版
2020 年 04 月
发布堡塔 APP、堡塔 SSH 终端
2021 年
2021 年 03 月
与腾讯云轻量应用服务器 Lighthouse 深度合作,联合发布宝塔面板腾讯云专享版
2021 年 04 月
宝塔官网系统通过三级等保认证
宝塔 Web 应用防火墙通过安全审查,获得计算机信息系统安全专用产品销售许可证
2022 年
2022 年 07 月
发布堡塔云监控
通过 ISO/IEC 20000-1 信息技术服务管理体系认证、ISO/IEC 27001 信息安全管理体系认证
软件产品
Linux / Windows 面板
宝塔 Linux / Windows 面板分为 “免费版”、“专业版”、“企业版/企业运维托管”[4],其中免费版无法免费使用宝塔面板的收费插件,而 “专业版”、“企业版/企业运维托管” 可免费使用对应等级的插件以及低价购买插件。
宝塔面板可安装如下插件:
- Nginx
- Apache
- IIS(仅限宝塔 Windows 面板)
- OpenLiteSpeed
- MySQL
- MongoDB
- PHP 5.2 ~ 8.2
- Memcached
- Redis
- Pure-Ftpd
- phpMyAdmin
- Tomcat
- Docker 管理器
- elasticsearch
- GitLab
以及对于服务器安全的插件:
- Apache 防火墙[5]
- Nginx 防火墙[6]
- PHP 网站安全告警[7]
- 堡塔 PHP 安全防护[8]
- 网站防篡改程序[9]
- 堡塔企业级防篡改[10]
- 宝塔系统加固[11]
- 宝塔防入侵[12]
- 服务器安全扫描[13]
- 堡塔 SSH 二次认证[14]
- 微步木马检测
- 系统漏洞扫描[15]
- 堡塔入侵检测
- Fail2ban 防爆破
- 系统防火墙
- 木马查杀工具
- 堡塔限制访问型证书[16]
云安全监控
无需复杂的配置即可开始对服务器进行深度的资源、安全监控[17]。
作为堡垒机批量管理服务器 SSH 终端、面板,操作录像回放,方便审计。
24 小时监控,实时发送告警(支持飞书、钉钉、企业微信、邮件)帮助运维人员快速定位故障。
堡塔云 WAF
可自定义拦截规则和可灵活配置各种限制访问,有效防CC攻击、防恶意采集、防刷接口等常见攻击和黑客渗透测试行为。
安全问题
2020 年 08 月宝塔面板 PhpMyAdmin 无需鉴权事件
宝塔 Linux 面板 7.4.2 与宝塔 Windows 面板 6.8 版本安装了 PhpMyAdmin 后,服务器防火墙开放了 888 端口的访问权限后,所有人可以通过服务器的 888 端口直接访问无需授权进入 root 权限的 PhpMyAdmin(http://IP:888/pma)。这会导致数据库被删除、脱库等高危严重安全事件发生。[18]也是宝塔历史上截至目前最严重的一次高危安全漏洞。
根据网上部份个人博客的信息交叉比对来看,该问题在被发现并修复可能已经存在一个月之久。
宝塔面板紧急发送短信并推送新版本并群发短信通知所有宝塔面板用户[19],短信内容如下:
【宝塔面板】紧急安全更新通知,Linux面板7.4.2版本/Windows面板6.8版本存在安全隐患,其他版本无此风险。已发布紧急更新,请所有使用此版本的用户务必升级到最新版,更新方法,登录面板直接升级更新即可,如更新出现问题,请登录宝塔论坛反馈或者联系客服反馈。
关于此事件的争议
部份宝塔面板用户表示,这也许是宝塔面板的后门,而非漏洞。
2022 年 12 月宝塔面板 Nginx 被挂马安全事件[20]
2022 年 12 月左右,从 Telegram 频道、QQ 群等网站站长交流群 / 频道等地,传出如出一辙的内容,原文如下:
速报:宝塔面板疑似出现全新高危漏洞,目前已出现大面积入侵
影响版本:7.9.6 及以下且使用 Nginx 的用户
风险等级:极高
处置建议:停止使用宝塔面板且更换 Apache(宝塔官方建议暂停面板)
排查方式:/www/server/nginx/sbin 目录下文件
- nginx 11.80MB
- nginxBak 4.55MB(木马)
- nginx 4.51MB(木马)
特征:
- 大小 4.51 MB
- 时间近期
- nginx & nginxBAK 双文件
入侵者通过该漏洞拥有 root 权限,受限于面板高权限运行,修改宝塔各种账号密码 + SSH 账号密码均为无效。
入侵者可以修改 Nginx 配置文件 + 数据库文件 + 网站根目录文件。
站点可能出现大量日志同时 CPU 异常占用,暂不清楚漏洞点,切勿所以点击清除日志按钮。
注:大量新装用户反馈出现挂马,目前宝塔面板官方源可能出现问题,建议暂停安装。
宝塔面板官方发出公告,声称关于外传宝塔面板或 Nginx 异常的内容不属实[21]。但有关文章的评论区有表示宝塔面板删除过很多的评论及帖子,且有很多人宣称确实存在相关漏洞。
根据网上所有人的反馈,有很多人是网站访问后有可能跳转色情网站、赌博网站,但有些少数人则是能够登录面板及服务器 root 权限。但早在同年 07 月 22 日,就有人发帖称存在跳转灰产网站的情况[22]。以及在同年 09 月 28 日,也有人贴出了被挂马后的服务器请求后返回的被篡改的 JS 文件[23],与本次事件记录的 JS 文件相似(都是混淆加密后的文件且功能是重定向是灰产)。
该漏洞至今没有任何官方声明修复情况,但逐渐消失了。最可能的情况是宝塔面板官方已定位并修复漏洞,但出于公司利益等角度,并不对外公布,暗中修复并更新。还有一种情况就是攻击者放弃攻击,但这种情况并不常见。
宝塔官方回应
宝塔面板官方并不承认宝塔面板存在有关漏洞,且至今也没有任何版本公开说明该漏洞被修复的情况。
宝塔面板官方不承认该漏洞引发的争议
但是该事件发生的时候,宝塔面板官方以 “免费提供技术援助”、“提供查询是否有漏洞” 两种方式提供帮助,被指变相承认存在该漏洞。
宝塔面板官方演示站被短暂的将标题改成了脏话,并且没过多久宝塔面板官方将演示站暂时关闭。宝塔面板官方回应称是宝塔面板演示站用户可自由操作面板。实际上,宝塔面板演示站用户不能改动任何有关服务器以及面板的设定。
參考資料
- ^ 关于宝塔 - 宝塔面板. www.bt.cn. [2023-12-30].
- ^ 宝塔面板下载,免费全能的服务器运维软件. www.bt.cn. [2023-12-30].
- ^ 关于宝塔 - 宝塔面板. www.bt.cn. [2023-12-30].
- ^ 宝塔面板价格-安全高效的服务器运维面板. www.bt.cn. [2023-12-30].
- ^ Apache防火墙 - 宝塔面板. www.bt.cn. [2023-12-30].
- ^ Nginx防火墙 - 宝塔面板. www.bt.cn. [2023-12-30].
- ^ 《PHP网站安全告警 》 新功能发布 - Linux面板 - 宝塔面板论坛. www.bt.cn. [2023-12-30].
- ^ 堡塔PHP安全防护 - 宝塔面板. www.bt.cn. [2023-12-30].
- ^ 网站防篡改程序 - 宝塔面板. www.bt.cn. [2023-12-30].
- ^ 企业级防篡改 - 宝塔面板. www.bt.cn. [2023-12-30].
- ^ 宝塔系统加固 - 宝塔面板. www.bt.cn. [2023-12-30].
- ^ 堡塔防入侵 - 宝塔面板. www.bt.cn. [2023-12-30].
- ^ 安全基线扫描 - 宝塔面板. www.bt.cn. [2023-12-30].
- ^ ssh登录的双重身份验证----堡塔SSH二次认证更新2.3 - Linux面板 - 宝塔面板论坛. www.bt.cn. [2023-12-30].
- ^ 针对Linux的漏洞扫描及一键修复插件----【系统漏洞扫描】 - Linux面板 - 宝塔面板论坛. www.bt.cn. [2023-12-30].
- ^ 堡塔限制访问型证书(HTTPS双向认证)使用说明 - Linux面板 - 宝塔面板论坛. www.bt.cn. [2023-12-30].
- ^ 云安全监控 - 宝塔面板. www.bt.cn. [2023-12-30].
- ^ 关于Linux面板7.4.2及Windows面板6.8紧急安全更新 - 宝塔公告 - 宝塔面板论坛. www.bt.cn. [2023-12-30].
- ^ 宝塔面板爆出高危漏洞 未授权访问phpmyadmin对数据库进行攻击_Sine安全-网络安全背后的巨人,提供服务器安全_服务器维护_网站安全解决方案. www.sinesafe.com. [2023-12-30].
- ^ 宝塔面板 2022 年 12 月高危安全漏洞事件详细记录. Prk博客. [2023-12-30] (中文(中国大陆)).
- ^ 【官方公告】关于外传宝塔面板或Nginx异常的公告 - Linux面板 - 宝塔面板论坛. www.bt.cn. [2023-12-30].
- ^ 【已解答】最近发现自己服务器nginx被劫持至灰产 - Linux面板 - 宝塔面板论坛. www.bt.cn. [2023-12-30].
- ^ 【待反馈】centos7.6 服务器安装宝塔在js文件出现木马跳转 - Linux面板 - 宝塔面板论坛. www.bt.cn. [2023-12-30].