倒霉鬼又倒霉了,家nas青龙面板被黑植入挖矿脚本了
刚刚看到来源:https://t.me/zaihuapd/39934倒霉鬼又倒霉了
倒霉鬼特地又去看了一遍面板,发现了异常的ip登陆日志,并且面板把cpu跑满了,难怪nas上网很卡
原来青龙面板被黑客上了,植入了那个挖矿脚本,呜呜呜,怎么办,还好是docker部署的,备份数据重新安装恢复的话,挖矿脚本应该还在吧?
以后青龙是不能放公网了,只能cf access了,害
青龙面板多版本曝出鉴权绕过与远程代码执行漏洞
开源任务管理平台青龙面板(Qinglong)存在多项严重安全漏洞,涉及包括最新版 V2.20.1 在内的多个版本。由于 Express 框架路由匹配对大小写不敏感,且 URL 重写逻辑存在缺陷,攻击者可绕过 JWT 鉴权接口重置管理员密码。同时,依赖管理模块在执行安装命令时未对输入进行过滤,导致 shell 指令注入并实现远程代码执行(RCE)。此外,系统还涉及路径穿越风险,允许向服务器写入任意文件。相关漏洞细节现已在包括 GitHub 在内的多个渠道广泛公开。
面板我都是开CF ZeroTrust的 只用内网就好了 以后不敢直接往公网开了 自己一个人用家里云+tailscale,和朋友一起用用cf zerotrust,只有给所有人看的才放公网 F50上装的不怕,只能内网访问{tieba27} 最近刚出的漏洞 看了一眼自己的面板,好在还正常
页:
[1]