關於 BT 寶塔面板疑似有嚴重 bug 的問題

這幾天在 hostloc 爆出 BT 寶塔面板疑似有嚴重 bug 的問題，嚴格來說，這也不是只有寶塔才會有漏洞，只要是有面板的系統，都會有這問題。

怎麼說呢，登入面板後台一般都是 IP 帶一個端口 (port)。

例如，寶塔的面板登入是你的主機 IP:8888。

有心人士就會利用 Python 程序進行 8888 port 的掃瞄及暴力破解。

寶塔的默認密碼為 8 碼，實際上沒有這麼容易破解成功，但是這是 http get 你的端口，CPU 負載一定會拉高。

如果你的主機性能太爛，或有超賣情形，小雞掛掉的情形不是說沒有的。

使用面板雖然方便，但最大的問題也管理面板端口及 FTP 被動模式端口這 2 個頭痛問題。

所以保持一個正確觀念是很重要的：

• 1. 更改後台的預設端口。
• 2. 更改預設帳號、密碼 (密碼最好 10 碼以上)。
• 3. 使用域名綁定後台為登錄網址 (子域名長度越長越好)。
• 4. 更改 SSH 端口。
• 5. FTP 要用時才啟動，用完後就停止程序。
  

以上的作法都是避免一些機器人掃描程序，去掃描到你的 VPS 主機，造成 CPU 負載暴高。

只要是你有安裝面板程序，都應該這麼做，不只寶塔而已。

寶塔官方也出面澄清：
https://www.bt.cn/bbs/thread-15654-1-1.html