生命不息
折腾不止

宝塔(BT)面板爆出重大安全漏洞,安全等级高,利用难度0(漏洞已由官方修复)

王俊伟阅读(17)

2020年8月23日,对于很多个人站长,包括个别政府企业网站来说,可能算是灾难。
在建站过程中,因为编译环境时间过长,编译难度较大,不方便管理,很多站长,包括企业在内的开发者喜欢用现成的面板来管理服务器,而且这是一个庞大的群体。
BT(宝塔)面板的出现,以及主打免费,兼容windows和linux的特性,让很多人选择使用宝塔面板来建站。
昨天下午,宝塔爆出安全漏洞,这个漏洞不知道存在多久,但影响却相当的大。
漏洞详情:

利用端口:888

利用程序:phpMyAdmin

利用过程:

主机在开放888端口的情况下,进入phpMyAdmin

http://IP:888/pma

可以直接进入phpMyAdmin,并不需要密码验证,直接可以拿数据库

漏洞等级:极高

利用难度:0

本身我不用任何面板来管理我的主机,所以无法用自己的服务器进行验证。

但是,我想到了一个轻松找到使用宝塔主机的方法,那就是利用百度来进行搜索。

在宝塔面板安装完成后,有一个自动生成的页面,如下图:

这个页面上的文字会被百度无情收录,只需要百度“抱歉!该域名未绑定到站点”,可以搜索出一大堆使用宝塔面板的站点,然后ping出ip,拿到站点ip很轻松,相信我,很多站点并不会用CDN。

简直不要太多……

然后我试着找了几个站点,然后利用漏洞进行操作,轻松拿下数据库。

我手头有一个朋友的网站,我帮着运维的,他也使用的宝塔面板,然后我验证了一下,并没有成功,因为之前装完宝塔面板的时候,我不输入密码就可以直接进入,我以为是我配置有错误,当时就直接删除了PMA,加之朋友重要数据库全在云数据库里,并不会构成威胁,当时并没有重视。

现在看来,当时也算明智。

如果仅仅是删库,那就是把这个漏洞想得太简单了,如果拿的到数据库,可以通过mysql进行shell操作,进而拿到服务器权限,不会shell也没关系,再笨点的办法是修改上传文件类型,上传后门,进行提权操作也是可行。所以这个漏洞可算是极高危的漏洞了。

目前已经有人通过脚本扫出了大约11万的站点!包括一个政府网站在内的很多网站已沦陷!

最后,在下午7点30分左右,官方发布的更新,来修复这个漏洞,并发短信通知了所有正在使用宝塔的用户。

云上公司(阿里云9.9的云上企业注册)入坑需知

王俊伟阅读(461)

别真的以为注册完成后就万事大吉了……

入驻前一定要清楚一些事,注册公司不是薅羊毛。

  • 1.大多经营场所不在本地(如果你是园区当地人另说)
  • 2.线上公司会涉及到后续一些必要手续的限制,有可能进入异常经营目录
  • 3.涉及异地经营,有可能列入异常经营目录
  • 4.要求电商类优先入驻的,如果要上线ICP经营性备案必须,这个证据我所知,没有1.5W是拿不下来的
  • 5.开公司涉及记账,就算是0营业额也得报税,有些园区是强制在园区内代记账,2000左右,不强制的,你可以找熟人代记,如果没有熟人建议选择园区的,2000很便宜了。
  • 6.注册后不能注销!因为我记得注销必须法人到场
  • 7.有些法人到场的业务办不了,不可能搭机票来回吧
  • 8.据我推断,一年后会收取园区管理费,想想也不可能免费让你用的,你租个办公场地也要掏租金的
  • 9.要缴纳社保的,而且得够人数,据我所知的,经营性ICP备案至少得5人社保交足半年
  • 10.记得还有刻章费用,如果你当地搞,500左右……

千万别当憨憨,别真的以为9.9就可以开启支付宝企业收款和微信支付……这还要手续费的……

Google Chrome用户福音,直接即可更新最新版

王俊伟阅读(2105)

Google Chrome作为一款很不错的浏览器,被广大计算机爱好者和码农朋友们喜欢,兼容Windows、OS X、Linux、Android、以及iOS等终端设备,拥有强大的可扩展性。

但是,在中国区的用户使用Chrome需要XXX才能下载和更新,不是特别方便,当然万年挂小飞机的用户除外了!

最近,博主发现,即使不使用XXX,Chrome也能完成自动更新了!有图为证!

无XXXX情况下更新完成的!

难道是增加了亚太地区的服务器?也许这和前几年的google突然能访问的时候一样,只是Google增加了亚太地区的服务器而已,能不能长久就不好说了!

如果没有小飞机的小伙伴们,可以撸起来了!

【结案:史上最短命的病毒】360“勒索蠕虫病毒文件恢复工具”操作指南

王俊伟阅读(3066)

360首发勒索蠕虫病毒文件恢复工具

https://dl.360safe.com/recovery/RansomRecovery.exe 

WNCRY病毒疯狂攻击全球上百个国家,无数宝贵资料被病毒加密,甚至有大学生毕业论文被锁死。360深入分析病毒原理,发现有可能恢复一定比例文件的急救方案,成功概率会受到文件数量等多重因素影响,详细教程见本文。越早操作,成功率越高!!

1.首先安装360安全卫士,选择漏洞修复,打好安全补丁,预防再次被攻击

 

2.使用360木马查杀功能,清除全部木马,防止反复感染。

360-3.jpg

360-4.jpg

3.下载使用“360勒索蠕虫病毒文件恢复工具”恢复被加密的文件

下载地址: http://dl.360safe.com/recovery/RansomRecovery.exe

 

选择加密文件所在驱动器

360-5.jpg

扫描后,选择要恢复的文件

360-6.jpg

360-7.jpg

强烈建议您选择把恢复的文件保存在干净的移动硬盘或U盘上

360-8.jpg

本工具的文件恢复成功率会受到文件数量、时间、磁盘操作情况等因素影响。一般来说,中毒后越早恢复,成功的几率越高。

我们尽力而为,但无法确保能够成功恢复多大比例的文件。祝您好运!

根据苇子我观察,这个恢复似乎是从硬盘中恢复已删除文件的,恢复机率不是太大,不能完全还原加密的文件。根本没有什么卵用。感觉我是中了360公关的毒!

【紧急+重要】勒索病毒WannaCry(及其变种)全球爆发!

王俊伟阅读(1992)

      2017年5月13日,一款名为WannaCry(及其变种)的勒索病毒在全球范围内爆发,全球各地的大量组织机构遭受了它的攻击。受害者电脑会被黑客锁定,提示支付价值相当于300美元(约合人民币2069元)的比特币才可解锁。

QQ图片20170513101946.jpg

     国内多所院校出现ONION勒索软件感染情况,磁盘文件会被病毒加密为.onion后缀,该勒索软件运用了高强度的加密算法难以破解,被攻击者除了支付高额赎金外,往往没有其他办法解密文件,只有支付高额赎金才能解密恢复文件,对学习资料和个人数据造成严重损失。

     根据网络安全机构通报,这是不法分子利用NSA黑客武器库泄漏的“永恒之蓝”发起的病毒攻击事件。
     从被感染机器的情况来看,一是操作系统、Office软件等没有采用正版软件,且漏洞、补丁更新不及时;二是不常用端口没有封闭;三是个人网络安全意识淡漠,没有定期备份文档的习惯。

提醒各位阿里云、腾讯云的用户:
1.尽量不要使用校园网连接腾讯云服务器
2.做好系统快照,数据备份等工作。
3.对服务器系统进行安全检查和加固!

4.配置好服务器安全组策略,对不使用的非必要端口进行屏蔽。
5.尽量不要使用Windows server 2003系统

防范措施:
1、为计算机安装最新的安全补丁,微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请尽快安装此安全补丁
下载地址:https://technet.microsoft.com/zh-cn/library/security/MS17-010

对于windows XP、2003等微软已不再提供安全更新的机器,可使用360“NSA武器库免疫工具”检测系统是否存在漏洞,并关闭受到漏洞影响的端口,可以避免遭到勒索软件等病毒的侵害。免疫工具:点此下载
2、关闭445、135、137、138、139端口,关闭网络共享。
3、强化网络安全意识:不明链接不要点击,不明文件不要下载,不明邮件不要打开……
4、尽快(今后定期)备份自己电脑中的重要文件资料到移动硬盘、U盘,备份完后脱机保存该磁盘。
5、建议仍在使用windows xp,windows 2003操作系统的用户尽快升级到window 7/windows 10,或windows 2008/2012/2016操作系统。

Windows10 创意者更新将在4月11日正式推送,但已有ISO镜像下载,附下载地址

王俊伟阅读(1670)

微软将在4月11日开启推送Win10创意者更新正式版系统,而今天微软已经释放出了Windows10创意者更新15063 ISO镜像下载。现在Win10创意者更新ISO镜像也已经正式上架微软MSDN订阅网站。

msdn.png

附上下载地址:

Windows10 x64多版本合集,Version 1703(中文简体)

文件名:
cn_windows_10_multiple_editions_version_1703_updated_march_2017_x64_dvd_10194190.iso

SHA1:
054C741DED8989F4D0D419946EB37182F20E4482

文件大小:4.27GB

发布时间:2017-04-05

下载地址:(请复制到迅雷等下载工具)
ed2k://|file|cn_windows_10_multiple_editions_version_1703_updated_march_2017_x64_dvd_10194190.iso|4587292672|373B263D307F6AA2486A74E557DD22C9|/

Windows10 x86多版本合集,Version 1703(中文简体)

文件名:
cn_windows_10_multiple_editions_version_1703_updated_march_2017_x86_dvd_10189569.iso

SHA1:
08D8F230E516523AD80B9A8F69ADEA6F77F2836A

文件大小:3.22GB

发布时间:2017-04-05

下载地址:(请复制到迅雷等下载工具)
ed2k://|file|cn_windows_10_multiple_editions_version_1703_updated_march_2017_x86_dvd_10189569.iso|3456649216|945C69ABEE0EFE9B07CF5B4C6E141262|/

Windows10 x64企业版,Version 1703(中文简体)

文件名:
cn_windows_10_enterprise_version_1703_updated_march_2017_x64_dvd_10194191.iso

SHA1:
F3ACA74FA2177C06EFF3C1F8FEB1B4F26BEA880B

文件大小:4.19GB

发布时间:2017-04-05

下载地址:(请复制到迅雷等下载工具)
ed2k://|file|cn_windows_10_enterprise_version_1703_updated_march_2017_x64_dvd_10194191.iso|4498978816|98F0EAD4122B9B9D72FD08D22657AB45|/

Windows10 x86企业版,Version 1703(中文简体)

文件名:
cn_windows_10_enterprise_version_1703_updated_march_2017_x86_dvd_10189572.iso

SHA1:
14CC045F0C885CBED0AE0B9EA4B8C6F2FF7DD854

文件大小:3.16GB

发布时间:2017-04-05

下载地址:(请复制到迅雷等下载工具)
ed2k://|file|cn_windows_10_enterprise_version_1703_updated_march_2017_x86_dvd_10189572.iso|3394940928|2E72355CDA5373B9F778D36CF03B86FD|/

伍林堂工作室联姻通报

王俊伟阅读(1635)

一个值得纪年的日子,伍林堂工作室正式宣布全体入驻本处。

本处全权接管伍林堂工作室服务器运维,就此通报。

[code]测试代码[/code]

情人节临近,看谷歌是怎么样虐单身狗的

王俊伟阅读(1281)

谷歌doodle总会在特别的节日里推出新的策划,来迎合节日氛围。没想到今年情人节的档口,谷歌推出的新doodle竟然和保护野生动物有关,谷歌专门设计一个保护穿山甲的互动小游戏。

1486979051429.jpg

谷歌doodle在情人节涂鸦中设计了穿山甲卡通人物,用户只要进入谷歌主页就能看到。用户需要经过一关关的挑战之后才能得到原材料,为游戏中的另一半准备情人节礼物和拿到求爱信。在这个游戏中,用户通过键盘的左右按钮、空格键来控制穿山甲的移动方向。

本周恰逢是世界穿山甲日,谷歌希望唤起人们保护地球上仅存的鳞甲哺乳动物。想起近日国内的“办公室煮穿山甲事件”,真感慨这样的教育很有必要。

这款简单的doodle小游戏让6名动画师和工程师花费近1年的时间才完成。用户只要进入Google主页就能看到这个可爱的doodle。

58a1cf60bc531.png

58a1cf61ba000.png

58a1cf61c00ab.png

58a1cf62d5a13.png

58a1cf616fee5.png

58a1cf60209ad.png

最后送上一个虐狗的动图

【失效】惊喜–9元获得阿里云免费套餐大多数产品半年使用权

王俊伟阅读(1373)

规则更新,此方法已失效!

首先确认是新注册账号,完成实名认证 

然后请确认以下几点 
0.png
 
登陆httpss://free.aliyun.com/ 
查询己有资格免费体验! 
如果是下图就说明没有资格 
1.png
 
如果弹出的要填写邀请码的,那就是有资格啦! 
然后我们选择第二种方式进行开通! 
2.png
会跳转到一个页面,如下: 
3.png
我们选择9块一年的OSS存储包! 
购买并支付 
4.png
顺带用了一个推荐码,好像并无卵用 
选择支付宝扫码支付! 
5.png
开通中…… 
7.png
 
开通完成后回到我们选择产品的页面,然后如下操作 
8.png
很快…… 
9.png
 
然后就会看到以上图,开通了体验资格!这羊毛薅的,也是爽! 
 
 
如下图,ECS等大部分产品有使用权了!半年啊,6个月!听说总价值会超2W,不知道是不是真的呢! 
10.png
赶快来体验一把吧!也没有什么损失哦!小伙伴们撸起来……! 

利好消息.vip/.xyz/.club终于可以备案了!

王俊伟阅读(1551)

.vip/.xyz/.club获得中国工信部域名注册管理机构审批~!

意味着.vip/.xyz/.club终于可以备案啦!

beian.jpg

.vip/.xyz/.club新通用顶级域名在中国通过工信部资质审批,是不少米友心中的头等喜事——如此重磅消息给米市释放了巨大利好消息,新顶级域名市场将换发新的生机。

club.png

vip.png

xyz.png

境外新通用顶级域名在中国的合规合法,不仅是.vip、.xyz以及.club域名在中国市场的重大突破,也给更多的境外新通用顶级域名提供了方向,是中国域名市场更加开放的表现。
同时,获得资质审批意味着用户使用.vip、.xyz以及.club域名可以建站启用,将大大增加这些新后缀的用户量。
 
工信部网站已可以查到这三个域名在可备案列表里了!

miitbeian.png

目前阿里云已经可以提交备案了!

club2.png

vip2.png

xyz2.png

但是腾讯云似乎还是不支持club备案提交!vip和xyz可以正常提交了!

club3.png

vip3.png

xyz3.png

似水流年--王俊伟个人博客

联系博主关注我们