在2020年8月23日的下午有个憨憨管理在我群艾特全员 说宝塔爆出漏洞了赶快更新吧!
需同时满足以下所有条件
1、软件版本为Linux面板7.4.
2 或者Windows面板6.8.02、开放888且未配置http认证,
3、安装了phpmyadmin,mysql数据库
只需满足一条则不受影响
1、未开放888端口,
2、针对888端口做了严格的安全认证,
3、未安装phpmyadmin,
4、未安装mysql数据库
5、面板版本不为Linux面板7.4.2/Windows面板6.8.0
接下来步入正题吧此次漏洞的分析如下 在/www/server/phpmyadmin目录下的PMA目录的config.inc.php文件里面会保存设置好的数据库账号密码 和在/www/server/phpmyadmin目录下的随机生成的数据库目录的config.inc.php文件相对比
大家发现有什么不同的地方吗?对了 第一个是采用账号密码的方式来进入数据库 也就是无需访问 即可进去
第二个是采用cookie和账户双认证 缺一不可 先登录宝塔 进入数据库管理界面进而管理
本次出问题的是以下采用WEB方式来访问数据库由于通过这个方式来访问的时候 未将phpmyadmin鉴权 所以才会出现这个严重的漏洞BUG
1.更新宝塔到最新的7.4.3版本。2.如果不想更新 请到/www/server/phpmyadmin目录下删掉pma目录3.修改宝塔数据库管理端口4.定期备份 毕竟数据第一 最好是本地一份 云端一份5.不开放一些不重要的端口
孙悟空大闹天空十万天兵天将都不能挡,可为什么取经路上连只妖怪都打不过,最后还是请神仙来帮忙?
注:小时侯看《西游记》也有过同样的疑问,问过父母长辈却大多含糊其词。 看到这篇文章,不管其中观点对错,至少觉得比较好玩,帖出来大家分享一下吧。 孙悟空为什么能大闹天空而打不过诸多妖精《西游记》中有这样一个矛盾,我以前一直百思不得其解:齐天大圣孙悟空在大闹天宫时战无不胜,要不是如来佛祖出手相援,整个天庭简直面临“亡国”的危险,但是在取经途中,大圣却好像很难一帆风顺,当年的那帮手下败将以及败将的跟班坐骑都成了高手,不是让大圣无计可施,就是要由大圣请出山帮忙,让人感觉这是吴承恩写书的漏洞。 最近我在做项目的时候,突然茅塞顿开――吴承恩这么写恰恰反映了他对封建王朝管理体系和人文背景的深刻了解。 各位如若不信,且听我细细道来。 大闹天宫前后,孙大圣、天兵天将以及妖怪们的能力都没有变化,但是交战双方和双方的心态都发生了很大的改变。 大闹天宫是孙大圣和天庭众神的战斗,是妖与神的战斗。 那时的孙大圣还只是得道的妖精,无所畏惧,身无牵绊,连阎王殿也不敢索拿他,打赢了是无上的荣光,甚至有自己重新界定天庭秩序的可能性,打败了的后果他又没有考虑过,所以,在孙大圣心中,他进行的是高收益、无风险的事业,自然全力以赴,出手毫不留情。 而天庭众神的心态却不同。 孙大圣反的只是玉皇大帝,目的只是想打败天庭以求出口恶气,对待众神并没有深仇大恨,所以干的都只是些偷食酒菜、仙丹的事情,充其量也不过是影响重要会议召开这样的小错误,即便后来打上天宫,也没有强烈的破坏欲,去干诸如烧杀抢掠的勾当。 因此,孙大圣与众神并无利益上的冲突。 同时,孙大圣的杀伤力很强,他手中的武器可以使所有被触碰的对手受伤。 所以,众神对孙大圣的围剿行动实际上是风险很高的项目,是迫于其领导玉皇大帝的压力而进行的工作,可以想象,在此情况下天庭一方的战斗力是处于什么状态,所谓十万天兵天将也必然各怀鬼胎,瞻前顾后。 有人会说,众神为什么不靠打败孙大圣来加官进爵呢,这就牵涉到天庭的所有制结构和激励机制问题。 从原文来看,天庭里尽管都是高素质的精英分子,实行的仍是封建君主制度,玉皇大帝作为统治者,对作为臣子的众神是具有生杀予夺大权的,所以,众神的生活质量就只能寄希望于这位领导的个人素质了。 但文中提到凤仙郡太守只因为祈天时不敬,就连累全郡大旱了三年,卷帘大将军只因打破一个琉璃盏,就被贬为小河妖,可见这位领导十分暴戾,而这位皇帝和众神又长生不老,可见众神真是“此罪绵绵无绝期”了。 按中国的传说规定,成为神是非常艰难的事情,很难想象众神历尽苦难的修炼只是为了换取一个更大的制度枷锁,所以,除了真正的既得利益者,众神在心底是必然反感这样一个制度的,是非常希望自由自在的生活的。 君不见众神中只有杨戬的团队最拼命卖力,原因就是他与玉皇大帝有裙带关系,当初杨戬力劈桃山救母虽然英勇异常,说到底还是个凡人,后来突然成了可以不服封建礼数的神仙,其中必有隐情,想必是玉皇大帝把天庭弄成了家族企业,给了外甥杨戬一个不用工作又可以享受人间供奉的美差,你让其余的神仙怎么能够信服?这样再回到前面的问题,某些神仙即便打败了孙大圣,获得了升迁又怎样呢,他最多也只能成为权力最大的臣子,仍然摆脱不了被统治的命运,而且“伴君如伴虎”,由于以后能面对的永远是这个领导,就算他再圆滑事故,说不定几千几万年后的哪天就因为一个错误而前功尽弃。 所以太上老君的金钢琢,明明可能收掉金箍棒的,却只用来打打人;太白金星的玉瓶,明明可以吸人的,老头儿却躲得远远的不见踪影。 而做一个普通的天神又如何呢?神首先是长生不老的,而且又不存在光宗耀祖、封妻荫子的问题,所以无功远比有功的生存压力小,根本犯不着为了一个没有实质内容的头衔而冒伤残的危险。 众神与孙大圣的对抗收益于是成为了负数,风险却成为了无穷大。 众神都是绝顶聪明,这个算盘哪里会打不清楚,在战斗中为避免领导怪罪,肯定披挂整齐、杀声震天,但是贴身大战是没有记载的,也没有使出什么绝活,即所谓出工不出力。 其实,书中还有一处反映了相同的问题,狮陀岭中的狮子精也吓退过天庭十万天兵,其间有没有发生激烈的战斗呢?没有,他只是张开大嘴吓唬了一下,天兵就退让了,反正狮子精只想要一个名分,众神并无实际利益损失,能不打仗就不打了吧。 但在孙大圣取经的过程中,情况发生了变化,孙大圣这时候已经是“散仙”了,也即身份不再是妖怪,距离成仙只有小小的差距了。 而他的对手却转为了彻头彻尾的妖精。 妖精对抗孙大圣的目的是为了吃唐僧肉或吸唐僧的元阳,其相关收益是长生不老――神仙的基本特征。 这项工作的风险也是巨大的 ――被孙大圣消灭掉。 对于妖怪来说,这是一项高收益、高风险的事业,按照马克思《资本论》的论述,人们为了300%的利润,就敢于冒绞首的危险。 而一步登天成为神仙的收益恐怕远远超过300%,可以想象妖怪们为了达成目的会有多么的狂热和勇敢。 最厉害的还是那些有一定背景的妖怪,他们知道自己的主子不同凡响,自己就算有过错也不用担心被惩处。 书中多次出现类似的章节:众神的下属或坐骑违规犯错,但是众神道貌岸然的解释说,唐僧取经必然要受劫难,下属的袭击正是这些劫难的一部分.所以,尽管下属的目的很阴暗,但是间接上为如来佛祖的考验工作出了不少力,帮助唐僧完成了受罪的任务,因此从本质上讲,他们的工作属于帮助性质,不是敌我关系,可以既往不咎、保留原职重新录用。 如此高论,为所有有实力、有背景的妖精提供了绝佳的机遇,他们的工作风险已经下降为零,而收益仍然很高,这样有杀无赔的买卖能不让妖怪们竭尽全力、前赴后继?与此相对应的是孙大圣,他并无成佛的野心,对抗妖怪的目的不是杀尽天下妖魔鬼怪,只是为了保护师傅去西天取经。 他与妖怪以前也无血海深仇,只有在妖怪袭击唐僧时才出手相救,所以工作属于被动反击性质。 军事上称进攻是最好的防御,单纯防御是十分危险的行为,因此孙大圣在战斗中已经先输了一着。 同时,由于被保护人唐僧缺少自我保护意识和抵御风险的能力,经常被妖怪扣为人质,使得孙大圣在援救工作中常常处于投鼠忌器的状态,在工作中不能放开手脚,于是又输了一着。 加上唐僧十分迂腐,经常怀疑孙大圣滥杀无辜,并以酷刑“紧箍咒”进行频繁地打击,不但严重挫伤了孙大圣的工作积极性,而且使之不能有效地做好危机前的准备工作,更不能主动出击消除隐患,信息的前馈工作陷于僵局,只好通过反馈工作解决问题,战斗力再输一着。 因此,在这场孙大圣和妖怪的竞争中,妖怪知己知彼、充分准备,而孙大圣畏首畏尾、束手束脚,尚未交战锐气已弱了一半,战斗胜利的可能性当然急剧减小。 再看此时出手相援的众神,他们都是奉旨帮忙,所以第一是任务关乎天庭荣誉,必须完成,第二是性质属于天庭组织的无偿援助,有天庭作为后盾。 因此,在妖怪没有大闹天宫的前提下,他一方面要提防自己失败后孙大圣和玉皇大帝都拿自己出气,同时又明白即使自己失败,整个组织――天庭失败的概率也很小――大不了再请如来佛祖出山,肯定手到擒来。 所以,每个相援的神仙都会使出浑身解数,亮出绝活一展身手,只要自己尽力,孙大圣和玉皇大帝都没有口实怪罪,当然,拼命是不可能的,就像对付青牛怪一仗中,众神失去武器后不是继续进攻,而是徒呼奈何后就坐等更厉害的神仙来帮忙。 而这些妖魔都是借对唐僧进行考验而由如来佛安排的,包括最后取得的假经卷也是为了凑够72磨难而设。 既然孙猴子对付不了这些妖魔,就免不了找菩萨甚至玉皇大帝帮忙,这样不仅联络了孙猴子与以往敌人的感情,也使得孙猴子产生对他们的依赖感。 这样,就从根本上实现了对孙猴子的和平演变!
欢迎 你 发表评论: