宝塔面板问题太多了吧，除了宝塔面板还有什么

站长们注意了:宝塔面板出现严重漏洞

各位站长请注意：宝塔面板发现严重安全漏洞，存在通过特定方式绕过验证直接访问服务器数据库的风险。部分网站已遭受攻击，数据库被清空。涉及漏洞的版本为宝塔Linux面板7.4.2及宝塔Windows面板6.8，其他版本暂时未受影响。黑客利用此漏洞，可直接入侵服务器数据库，严重可能导致网站瘫痪。已有网站中招，损失惨重。某站长表示，未及时备份数据，丢失了数以千计的文章，深感懊悔。宝塔安全团队迅速响应，发布紧急更新通知。受影响的站长应立即登录面板后台升级，以防止数据损失。随着大量宝塔用户证实收到升级提醒，漏洞已确认真实存在。建议所有使用宝塔面板的站长及时升级，避免潜在风险。切记：数据备份是防范此类问题的关键。

宝塔面板的善与恶:宝塔国内版收集用户服务器隐私数据

图/文：迷神

国内的某些公司做着做着就喜欢动些歪脑筋，手脚总是不那么干净，居心不可谓不险恶。

几天前各大论坛贴满了关于宝塔后门搜集隐私信息的帖子，网友附上了详细的宝塔搜集信息并上传到服务器的代码和操作流程，附带搜集信息的证据。我虽然对宝塔面板无感，但是手里的也服务的客户使用了宝塔，于是上去查看了一番，果然，发送的日志位于：

/www/server/panel/logs/request

看看里面的日志，甚至把部分代码都提交给了宝塔，如果你的数据库配置文件在线修改了，而且配置文件文件比较少了话，很可能被被上传到宝塔上。

宝塔提交服务器的日志，包括服务器的一些操作日志，保存格式为：[“操作时间”,“你的 IP(非服务器 IP):1000”,“POST”,“url地址/login?”,“用户 UA”,“{}”, 39]

着实想不通宝塔收集用户操作信息到底想干嘛？属实没必要吧？有何资格收集，就因为使用你们家面板？居心又何在？？？

一、宝塔收集收集用户面板操作日志的部分信息.

由/class/public.py文件的 write_request_log搜集，并保存到:/www/server/panel/logs/request/

由/script/site_task.py，logs_analysis的函数，定时发送到宝塔服务器部分信息：

PS：他们的证书也涉嫌获取服务器的所有域名信息。

其实，我很反感某些公司，天天就各种不安分的小手脚。修复方法也简单，可以把相关代码注释掉。更狠点的话，可以

最后，真心建议，宝塔这样的公司和他们家的产品，该换就换，还是别用了吧！怪可怕的。

宝塔面板安装完成后必须要做的几件事

1、修改宝塔面板的登录端口；这也是官方一再提醒的问题，将默认8888修改后，记得在安全组里放行端口；

2、修改安全入口，可以更改为自己觉得有意思或比较好记的字符；

3、修改服务器的SSH连接端口号 22更改为其他，防止黑客扫描端口暴力破解；

最好也做的几件事：

4、可以绑定一个域名(子域名)，如果采用这个方式最好是绑定一个跟ECS上不相干的域，和不使用IP登录的理由一样，防止被猜出来后进行破坏行为；#绑定的域名仅替换IP，后面的端口号和安全入口不变。

  例：;绑定baota.notecoo.cn域名之后变为：

5、面板用户的账号和密码，随机比较难记，可以更改为自己设置的好记的账号密码，但是需要注意密码的强度；

6、绑定宝塔账号不是坏事，并且后面插件很多是需要用到宝塔账号的； 

7、绑定微信小程序：可以在线查看服务器的状态；#很方便的一个点

8、在首页宝塔SSH终端里设置好，远程控制可以直接在面板中完成，并且这里面是支持中文显示的；比如 bt命令就比在服务器中方便的多；