在主机啦
分享你的建站故事

宝塔面板惊现漏洞,数万网站惨遭毒手。

Ktm阅读(652)

今日下午5点,宝塔官方紧急发布了一则更新。

 

多家相关站长/VPS等论坛爆出 宝塔这一漏洞可以让用户无需鉴权 进入一些888对外开放的网站phpmyadmin。

 

随着事情发酵,进入方式逐渐流传,有人开始进行IP扫段等方式获取大量 7.42版本宝塔数据库。大部分网站遭到删库。

晚上7点40左右,宝塔开始发布短信,通知宝塔用户进行紧急升级。

 

官方表示不要随意去登入一些被公开的后台,因为都有记录
也不知道此次事件会给宝塔带来什么样的后果。
目前流传 某政府网惨遭毒手(消息不一定为真,根据快照该网站20号就已经这样,应该只是一个闲置建站页面)
宝塔官方也表示此次事件责任确实在他们
国内五大IDC,截至目前仅阿里云发布预警
不过使用CDN,或非888端口也不需要这么害怕,尽快升级版本即可。
下方内容转载自LOC

本次宝塔的漏洞并没你们想的那么可怕

第一/ 有MJJ测试了

https://www.hostloc.com/thread-734525-1-2.html

总结:

Linux 宝塔7.4.2

阿帕奇环境下 无法利用 已知BUG进到phpMyadmin

更换Nginx环境下后 可以 利用BUG进到phpMyadmin

需要特定条件才能进入

第二、 开cdn的 ,在不暴露源站ip情况下

不被针对,纯靠扫描的

除非你是非酋,不然大海捞针短时间找你ip那么容易

尽快更新,并卸载phpMyadmin 才是最好的办法

全球共有2^bai32个IPv4地址,估计约42.9亿个

有个MJJ说 全段ip扫描用半天就扫描完,你怕是拿天河一号在扫描吧?

关于说机房扫描的,这都是具有针对性的

宝塔已经群发短信,还能中招的

基本都是没人管,非酋和被惦记的。

已经看到

有人动ZF网数据库了

ip访问可是有日志的,这是在自己找死

最后奉劝大家,做站不易,不要随意删除别人的成果,都有log

腾讯出手,团灭QQ机器人行业?

Ktm阅读(357)

最近,腾讯又被卷入了一场舆论风波之中。

起因是 7 月 22 号,腾讯起诉晨风 QQ 机器人非法入侵计算机系统,作者被跨省传唤。

晨风机器人作者原话是这样的 ▼

晨风中招的事情一出,众多机器人开发者纷纷自危,近几天里陆续关停了自己的机器人服务。

有网友简单统计了一下。。▼

看到这,有些差友可能还有些懵逼,QQ 第三方机器人是个啥?

简单来说,这玩意就是使用者通过开发者提供的框架,去实现各种功能的一个自动化工具。

一些重复性强的群管理操作( 入群欢迎、定时通知、自动踢人)或是群娱乐( 聊天互动、小游戏 )都可以用这个工具实现,而不是人工,大大节省人力。

羊毛群里的信息,一般都是用机器人群发 ▼

有了这个工具,群管理员管理社群的效率大大提升~

现在腾讯起诉晨风,各大机器人开发者纷纷关停服务,气得不少网友直接炸毛,开麦喷鹅了。

诺,你看。。。

这看起来对我们没有什么影响,但有些常用 QQ 群的网友指出会带来很多不便:降低了大家使用 QQ 群的体验。

要知道,林子大了什么鸟都有,一旦 QQ 群人数过多,就会有人发黄图或者是不当言论。

但,群管理员不可能时时刻刻盯着消息,所以大一点的群都会考虑用机器人检测、维护,把捣乱的用户踢出去。

机器人没了,这些群管理还怎么玩?每天盯着屏幕?还是干脆不管,让群用户广告看饱?

这只是最基本的,有些开发者还开发了一些特色机器人框架,实现特定的需求,让机器人成为 QQ 群里不可缺少的一员。

比如,在游戏群里,萌新可以通过问答机器人获取不少重要信息,老司机也可以通过机器人便捷获取数据攻略。

猛男捡树枝的图鉴查询▼

在学校新生信息群里,有人整了一个招生问答机器人,从此摆脱了用人力不断回复。

机器人会尽职尽责的 24 X 7 帮助群里的学生、家长了解学校信息。

拾取问题里的关键词,再反馈对应信息 ▼

除了这些实用性极强的功能外,机器人还可以执行一些娱乐性功能。

无聊?可以找机器人来个冷笑话,玩玩成语接龙小游戏,抽个签,看看图。

等等,这玩意也能叫色图?▼

说到这里,各位差友可能会纳闷,为什么腾讯要对这个实用工具下手呢?还起诉作者,犯得着嘛?

网友们提出了一些猜测。

有人觉得是腾讯不想被白嫖,不愿意把这块蛋糕分给别人。

有人认为是腾讯自己做不好,就封掉别人的,来推自己的机器人。

差评君觉得,有这样的推测很正常,但是仔细想想,会发现这些推测站不住脚。

一来,腾讯封杀 QQ 机器人并不是最近才有的事情。

二来,腾讯这么大一只企鹅,真就离谱到做不好一个机器人,那它可以买啊。。。这活它老熟了~

封杀原因,差评君觉得,还是那句话:恶意营销打扰了用户的生活,也给 QQ 带来了麻烦。

在探索 QQ 机器人的时候,差评君扒到了一些有趣的机器人产品介绍。

用这种设置案例,在暗示些什么呢?▼

既然可以群发带颜色的网址。

那么,是不是也可以群发菠菜网址?

是不是也可以被用来发送其他涉嫌违法的信息?

注意,这还只是设置欢迎语而已,机器人还可以自动私聊群成员发消息。

如果你加入过以陌生人为主的大群,那你大概率收到过,下面这样的消息。。。

不但给你发带颜色的网址,结尾还要励志一下。。▼

你品品,这个工具是不是变成坏人疯狂乱发恶意营销的利器了?

工具终究只是工具,没有任何道德判断、法律判断。提供招生信息查询、游戏图鉴查询的是它,可传播不法信息、营销信息,骚扰用户的也是它。

所以,如果你要问差评君 “ 腾讯这波封来封去的操作,你资瓷不资瓷 ”?

差评君当然要说一句资瓷。

原本这一类工具就是在 QQ 的基础上运行的,本身存在对 QQ 的侵权,涉嫌违法。而除了侵权以外,这些工具也开始逐步被黑灰产们所利用,这是一个很大的问题。

但腾讯也应该从中看到产品改进的空间,不是说要让大家每一天都乐在沟通么?QQ 群作为 QQ 中不可轻视的一部分,作为大家沟通的重要阵地,难道不值得更好的辅助管理功能?

大家因为兴趣爱好聚集在同一个 QQ 群里,本应有更好的工具方便沟通,而那些出于爱好维护 QQ 群的人,也不应该用 “ 蛮力 ” 走在耗时耗力的路上。

关心用户体验,仅仅只有封禁是不够的,还得要改进。

以上内容转载自新浪文章
以下内容来自于LOC发帖;

晨风7月22日发的那个求助文,说他自己被腾讯起诉了。

酷Q官方群。7月29还在发

《应用发布、使用规范》已更新,自 2021年起,将严格禁止淘客、邀请统计等相关功能。
如有相关使用需求的,请重新评估需求,停止相关功能,或迁移至其他允许此类功能的平台(请阅读对应平台用户协议)。

酷Q还能用到明年三月,意味着是作者自己的行为

8月1日 23:56  晨风的WB下面有好几条 这样的评论,这个群号打开,群主名字是个叫 酷Q社区 的,头像也是酷Q的logo

Q群机器人:我用别的框架写了点插件想用的进群xxxxxxxx

然后都会伴随着一条回复:酷Q你这样好么?

然后大概两点,暴雷了。酷Q宣布关闭,官网内隐藏了一句话;

<p>本站无任何官方WB/微信/贴吧/头条号等,谨防不法分子冒充所谓“官方群”、“官方人员”诈骗。</p>
<!– 某些冒充官方做不法勾当的人,要点脸好吗。 –>

截止发帖时,群主还在群内发言,对那些倒卖的用户表示很恶心,可以退款。

酷Qpro的用户中心可以查看到期时间,已无法续费,文档表示大概明年三月停运。

官方文档内显示:

「海底捞可能有两种死法:一种是管理出问题,如果发生,死亡过程可能持续数月乃至上年;第二种是食品安全出问题,一旦发生,海底捞可能明天就会关门,生死攸关。」

大概出了晨风的事后,作者就有退意了。当他看到weibo内的发言后, mlgb还特么冒充老子。干脆不干了!。然后就如我们所见。。

然后就引起了,机器人作者们集体关门,类似前段时间的易支付事件(当我购买彩虹发卡后台认证的时候咨询 彩虹易支付作者的时候;作者告诉我前段时间因为一家易支付被抓了,所以很多家都关了。导致推介列表很多站都不能使用,正好空出来。)

所以。。。。。。。引起了,机器人圈子的关闭潮?机器人圈子的两个领头羊都不行了,其他作者一看,大事不好,撤

主机啦根据近几日的酷Q官网更新内容来查阅分析,以上来自于LOC的评论几乎可以实锤。新浪文章内指出 机器人是一把双刃剑,但是有不法分子利用这把剑做着违法的事情,更有甚者直接将DDOS攻击写成插件进行传播,所以出事是早晚的事,只是机器人平台该不该关闭?技术无罪还是有罪? 苹果CMS、修罗BBS。都已经论证了这一事实。相信更多的作者还在观望中。

BT_Panel – 宝塔7.2.0 企业版开心发布

Ktm阅读(144850)

该版本仅供大家测试,切勿商用,公开!本文转载于社长论坛

需要宝塔正版专业版的可以看下 btpanel.cn

震惊!VPSMM关站了!竟是因为宝塔开心版!
一下不上LOC就发生那么刺激的事情!,刚刚社长群说发公告也关站了
刺激。

说道社长,我就想起来去年上半年,从他手里 购买来的 btpanel.net 这个域名,被我指向到了 btpanel.cn 这个域名

说道 btpanel.cn 我就又想起了,去年在坛子里老哥手里收到的这个米,最终被我拿来了大用,把手里的宝塔都出租了,更是寻求到了,上次获得 第一、第二名的两位大佬作为货源渠道,为btpanel提供了源源不断的年付宝塔专业版授权。

说道宝塔专业版授权,我就想起了今天早上发的一个帖子,表示我闲出屁搞了个淘宝店。卖宝塔,年付120,NO,不要,宝塔好评价 99!只需99!

是什么让全网喊打喊杀?羊毛党的末路

Ktm阅读(669)

近日,一则《网红,薅羊毛》的新闻刷遍全网,羊毛党从这个名字来看,绝不会消失,但是什么事让羊毛党的名气臭上加臭了呢?

 

因为羊毛党这个名字从天然上就是不被各个资本所接受的,从PDD到站长圈的良心云,从VPS圈频发的某BUG的事件能让大家迅速“撸” 羊毛党:“好人雷锋”就已经得罪了不知道多少的势力;

 

 

从道德层面,以该B站up为主的羊毛党确实触犯了 人们的道德底线,就如PDD当初的羊毛时间,大家都会在心中呐喊:错亿;而当大家看到了 农民、被薅;又构成了大家心中的“正义感” 更让大家更加的 义愤填膺。

 

 

 

 

以各平台的发声开始,相信接下来舆论还会继续酝酿,让我们继续关注;