草稿:寶塔面板
您所提交的草稿仍需改善。在2023年12月30日由Newbamboo (留言)審閱。
如何改善您的草稿
|  |
寶塔面板 (國際版叫做 aaPanel)成立於 2017 年[1],是一個商業化的 Windows / Linux 伺服器運維面板。由廣東堡塔安全技術有限公司開發運營。
寶塔面板可以使用 Web 一站式的管理伺服器,時時看到伺服器的負載狀態、CPU 使用率、內存使用率、硬碟空間占用情況、時時流量、磁碟 IO 速度次數延遲等。同時,還可以管理純靜態 HTML、PHP、Java、Node、Golang、Python 等項目,以及 MySQL、SQLServer、MongoDB、Redis、PgSQL 資料庫。
寶塔面板因為方便性,以及包括中國大陸雲計算廠商阿里雲、騰訊雲、華為雲等,推出的輕量應用伺服器、雲伺服器等產品,帶有的鏡像有包含了 「寶塔 Linux 面板」,加上寶塔 Linux 面板只需使用一行命令即可完成安裝[2],以及許多開源項目推出的教程都以 「寶塔面板」 為題,也造就了寶塔面板在中國大陸的運維面板的 「龍頭老大」 地位,寶塔面板也成為了許多站長新手小白入門使用的伺服器運維面板。
支持語言[編輯]
寶塔面板目前僅支持簡體中文。
aaPanel(寶塔面板國際版)目前僅支持英語。
發展歷程[編輯]
寶塔面板發展歷程[3]
2014 年[編輯]
2014 年 12 月[編輯]
開始籌備伺服器管理助手的相關工作
2015 年[編輯]
2015 年 04 月[編輯]
Windows 伺服器管理助手(現寶塔 Windows 面板)進入研發及測試階段
2015 年 08 月[編輯]
正式發布 Windows 伺服器管理助手 1.1 版本
2016 年[編輯]
2016 年 03 月[編輯]
正式發布基於 C# 開發的 Windows 伺服器管理助手 2.0
2016 年 04 月[編輯]
正式啟用 bt.cn 作為寶塔的官網
2016 年 05 月[編輯]
正式發布 Linux 伺服器管理助手 1.1 版本
2016 年 09 月[編輯]
Linux 伺服器管理助手更名為寶塔 Linux 面板
Windows 伺服器管理助手更名為寶塔 Windows 面板
2017 年[編輯]
2017 年 02 月[編輯]
正式發布基於 Python 開發的寶塔 Linux 面板 3.0 版本
完成寶塔的天使輪融資
啟用廣東堡塔安全技術有限公司作為寶塔面板的公司主體
2017 年 05 月[編輯]
正式發布採用全新 UI 體系的寶塔 Linux 面板 4.0 版本
2017 年 07 月[編輯]
發布寶塔 Linux 面板 5.0 正式版本
2017 年 09 月[編輯]
與阿里云云市場深度合作
2017 年 10 月[編輯]
與京東云云市場深度合作
2018 年[編輯]
2018 年 06 月[編輯]
寶塔 Linux 面板專業版發布
2018 年 09 月[編輯]
寶塔 Linux 面板 6.0 測試版發布
2019 年[編輯]
2019 年 07 月[編輯]
堡塔雲控平台發布
發起首屆 724 運維節活動,宣稱 「感恩那些每周7天每天24小時隨時待命默默付出的運維人」
2019 年 12 月[編輯]
通過高新技術企業認證
2020 年[編輯]
2020 年 02 月[編輯]
將原有的企業運維版正式升級為企業版
2020 年 04 月[編輯]
發布堡塔 APP、堡塔 SSH 終端
2021 年[編輯]
2021 年 03 月[編輯]
與騰訊雲輕量應用伺服器 Lighthouse 深度合作,聯合發布寶塔面板騰訊雲專享版
2021 年 04 月[編輯]
寶塔官網系統通過三級等保認證
寶塔 Web 應用防火牆通過安全審查,獲得計算機信息系統安全專用產品銷售許可證
2022 年[編輯]
2022 年 07 月[編輯]
發布堡塔雲監控
通過 ISO/IEC 20000-1 信息技術服務管理體系認證、ISO/IEC 27001 信息安全管理體系認證
軟體產品[編輯]
Linux / Windows 面板[編輯]
寶塔 Linux / Windows 面板分為 「免費版」、「專業版」、「企業版/企業運維託管」[4],其中免費版無法免費使用寶塔面板的收費插件,而 「專業版」、「企業版/企業運維託管」 可免費使用對應等級的插件以及低價購買插件。
寶塔面板可安裝如下插件:
- Nginx
- Apache
- IIS(僅限寶塔 Windows 面板)
- OpenLiteSpeed
- MySQL
- MongoDB
- PHP 5.2 ~ 8.2
- Memcached
- Redis
- Pure-Ftpd
- phpMyAdmin
- Tomcat
- Docker 管理器
- elasticsearch
- GitLab
以及對於伺服器安全的插件:
- Apache 防火牆[5]
- Nginx 防火牆[6]
- PHP 網站安全告警[7]
- 堡塔 PHP 安全防護[8]
- 網站防篡改程序[9]
- 堡塔企業級防篡改[10]
- 寶塔系統加固[11]
- 寶塔防入侵[12]
- 伺服器安全掃描[13]
- 堡塔 SSH 二次認證[14]
- 微步木馬檢測
- 系統漏洞掃描[15]
- 堡塔入侵檢測
- Fail2ban 防爆破
- 系統防火牆
- 木馬查殺工具
- 堡塔限制訪問型證書[16]
雲安全監控[編輯]
無需複雜的配置即可開始對伺服器進行深度的資源、安全監控[17]。
作為堡壘機批量管理伺服器 SSH 終端、面板,操作錄影回放,方便審計。
24 小時監控,實時發送告警(支持飛書、釘釘、企業微信、郵件)幫助運維人員快速定位故障。
堡塔雲 WAF[編輯]
可自定義攔截規則和可靈活配置各種限制訪問,有效防CC攻擊、防惡意採集、防刷接口等常見攻擊和黑客滲透測試行為。
安全問題[編輯]
2020 年 08 月寶塔面板 PhpMyAdmin 無需鑒權事件[編輯]
寶塔 Linux 面板 7.4.2 與寶塔 Windows 面板 6.8 版本安裝了 PhpMyAdmin 後,伺服器防火牆開放了 888 埠的訪問權限後,所有人可以通過伺服器的 888 埠直接訪問無需授權進入 root 權限的 PhpMyAdmin(http://IP:888/pma)。这会导致数据库被删除、脱库等高危严重安全事件发生。[18]也是寶塔歷史上截至目前最嚴重的一次高危安全漏洞。
根據網上部份個人博客的信息交叉比對來看,該問題在被發現並修復可能已經存在一個月之久。
寶塔面板緊急發送簡訊並推送新版本並群發簡訊通知所有寶塔面板用戶[19],簡訊內容如下:
【寶塔面板】緊急安全更新通知,Linux面板7.4.2版本/Windows面板6.8版本存在安全隱患,其他版本無此風險。已發布緊急更新,請所有使用此版本的用戶務必升級到最新版,更新方法,登錄面板直接升級更新即可,如更新出現問題,請登錄寶塔論壇反饋或者聯繫客服反饋。
關於此事件的爭議[編輯]
部份寶塔面板用戶表示,這也許是寶塔面板的後門,而非漏洞。
2022 年 12 月寶塔面板 Nginx 被掛馬安全事件[20][編輯]
2022 年 12 月左右,從 Telegram 頻道、QQ 群等網站站長交流群 / 頻道等地,傳出如出一轍的內容,原文如下:
速報:寶塔面板疑似出現全新高危漏洞,目前已出現大面積入侵
影響版本:7.9.6 及以下且使用 Nginx 的用戶
風險等級:極高
處置建議:停止使用寶塔面板且更換 Apache(寶塔官方建議暫停面板)
排查方式:/www/server/nginx/sbin 目錄下文件
- nginx 11.80MB
- nginxBak 4.55MB(木馬)
- nginx 4.51MB(木馬)
特徵:
- 大小 4.51 MB
- 時間近期
- nginx & nginxBAK 雙文件
入侵者通過該漏洞擁有 root 權限,受限於面板高權限運行,修改寶塔各種帳號密碼 + SSH 帳號密碼均為無效。
入侵者可以修改 Nginx 配置文件 + 資料庫文件 + 網站根目錄文件。
站點可能出現大量日誌同時 CPU 異常占用,暫不清楚漏洞點,切勿所以點擊清除日誌按鈕。
註:大量新裝用戶反饋出現掛馬,目前寶塔面板官方源可能出現問題,建議暫停安裝。
寶塔面板官方發出公告,聲稱關於外傳寶塔面板或 Nginx 異常的內容不屬實[21]。但有關文章的評論區有表示寶塔面板刪除過很多的評論及帖子,且有很多人宣稱確實存在相關漏洞。
根據網上所有人的反饋,有很多人是網站訪問後有可能跳轉色情網站、賭博網站,但有些少數人則是能夠登錄面板及伺服器 root 權限。但早在同年 07 月 22 日,就有人發帖稱存在跳轉灰產網站的情況[22]。以及在同年 09 月 28 日,也有人貼出了被掛馬後的伺服器請求後返回的被篡改的 JS 文件[23],與本次事件記錄的 JS 文件相似(都是混淆加密後的文件且功能是重定向是灰產)。
該漏洞至今沒有任何官方聲明修復情況,但逐漸消失了。最可能的情況是寶塔面板官方已定位並修復漏洞,但出於公司利益等角度,並不對外公布,暗中修復並更新。還有一種情況就是攻擊者放棄攻擊,但這種情況並不常見。
寶塔官方回應[編輯]
寶塔面板官方並不承認寶塔面板存在有關漏洞,且至今也沒有任何版本公開說明該漏洞被修復的情況。
寶塔面板官方不承認該漏洞引發的爭議[編輯]
但是該事件發生的時候,寶塔面板官方以 「免費提供技術援助」、「提供查詢是否有漏洞」 兩種方式提供幫助,被指變相承認存在該漏洞。
寶塔面板官方演示站被短暫的將標題改成了髒話,並且沒過多久寶塔面板官方將演示站暫時關閉。寶塔面板官方回應稱是寶塔面板演示站用戶可自由操作面板。實際上,寶塔面板演示站用戶不能改動任何有關伺服器以及面板的設定。
參考資料[編輯]
- ^ 关于宝塔 - 宝塔面板. www.bt.cn. [2023-12-30].
- ^ 宝塔面板下载,免费全能的服务器运维软件. www.bt.cn. [2023-12-30].
- ^ 关于宝塔 - 宝塔面板. www.bt.cn. [2023-12-30].
- ^ 宝塔面板价格-安全高效的服务器运维面板. www.bt.cn. [2023-12-30].
- ^ Apache防火墙 - 宝塔面板. www.bt.cn. [2023-12-30].
- ^ Nginx防火墙 - 宝塔面板. www.bt.cn. [2023-12-30].
- ^ 《PHP网站安全告警 》 新功能发布 - Linux面板 - 宝塔面板论坛. www.bt.cn. [2023-12-30].
- ^ 堡塔PHP安全防护 - 宝塔面板. www.bt.cn. [2023-12-30].
- ^ 网站防篡改程序 - 宝塔面板. www.bt.cn. [2023-12-30].
- ^ 企业级防篡改 - 宝塔面板. www.bt.cn. [2023-12-30].
- ^ 宝塔系统加固 - 宝塔面板. www.bt.cn. [2023-12-30].
- ^ 堡塔防入侵 - 宝塔面板. www.bt.cn. [2023-12-30].
- ^ 安全基线扫描 - 宝塔面板. www.bt.cn. [2023-12-30].
- ^ ssh登录的双重身份验证----堡塔SSH二次认证更新2.3 - Linux面板 - 宝塔面板论坛. www.bt.cn. [2023-12-30].
- ^ 针对Linux的漏洞扫描及一键修复插件----【系统漏洞扫描】 - Linux面板 - 宝塔面板论坛. www.bt.cn. [2023-12-30].
- ^ 堡塔限制访问型证书(HTTPS双向认证)使用说明 - Linux面板 - 宝塔面板论坛. www.bt.cn. [2023-12-30].
- ^ 云安全监控 - 宝塔面板. www.bt.cn. [2023-12-30].
- ^ 关于Linux面板7.4.2及Windows面板6.8紧急安全更新 - 宝塔公告 - 宝塔面板论坛. www.bt.cn. [2023-12-30].
- ^ 宝塔面板爆出高危漏洞 未授权访问phpmyadmin对数据库进行攻击_Sine安全-网络安全背后的巨人,提供服务器安全_服务器维护_网站安全解决方案. www.sinesafe.com. [2023-12-30].
- ^ 宝塔面板 2022 年 12 月高危安全漏洞事件详细记录. Prk博客. [2023-12-30] (中文(中國大陸)).
- ^ 【官方公告】关于外传宝塔面板或Nginx异常的公告 - Linux面板 - 宝塔面板论坛. www.bt.cn. [2023-12-30].
- ^ 【已解答】最近发现自己服务器nginx被劫持至灰产 - Linux面板 - 宝塔面板论坛. www.bt.cn. [2023-12-30].
- ^ 【待反馈】centos7.6 服务器安装宝塔在js文件出现木马跳转 - Linux面板 - 宝塔面板论坛. www.bt.cn. [2023-12-30].