青龙面板重置账号密码
本文最后更新于:2026年3月2日 下午
青龙面板漏洞来袭,重置账号密码刻不容缓
近期青龙面板接连爆出 /open/user/init 接口未授权即可重置用户(#2933)、鉴权绕过导致RCE(#2934)两大高危漏洞,涵盖2.20.1之前的所有版本,攻击者可通过漏洞直接重置面板账号密码、执行恶意系统命令,甚至将服务器变为肉鸡(被投毒 · #2936),已有大量用户遭遇异地登录、密码被篡改、植入挖矿脚本等问题,当务之急是立即升级青龙面板至 2.20.2 以上的版本,并重置青龙面板账号密码。
一、核心重置命令
青龙面板提供了官方的密码重置脚本,通过执行指定命令可快速修改账号/密码,无需登录面板,从根源避免漏洞被利用,命令需在青龙面板容器内执行。
1. 重置青龙面板账号
1 | |
使用示例:将账号重置为qladmin,执行
1 | |
2. 重置青龙面板密码
建议使用字母+数字+特殊字符的复杂密码,强烈建议使用密码生成器
1 | |
二、容器内执行命令的操作步骤
步骤1:登录青龙面板所在的服务器
通过SSH工具(Xshell、FinalShell、Putty等)登录部署青龙面板的服务器(云服务器/本地服务器)。
步骤2:查看青龙面板容器ID/名称
执行以下命令,找到青龙面板对应的容器信息(列示NAMES/ID列):
1 | |
青龙面板容器名称一般为qinglong或自定义的名称,记下方框内的容器ID/名称。
步骤3:进入青龙面板容器内部
执行以下命令进入容器,将<容器ID/名称>替换为上一步查到的实际内容:
1 | |
示例:容器名称为 qinglong,执行
1 | |
执行成功后,命令行前缀会变为容器内的路径标识,代表已进入容器。
步骤4:执行重置命令
在容器内直接执行上文的账号重置命令和密码重置命令,依次完成账号、密码的修改,执行成功后会有相应的成功提示。
步骤5:退出容器
重置完成后,执行以下命令退出容器即可:
1 | |
三、重置后必做的安全防护措施
仅重置密码无法彻底规避风险,结合本次漏洞的攻击方式,建议立即做好以下防护,从源头阻断攻击:
禁止青龙面板端口裸暴露公网:若无需公网访问,直接在服务器/云控制台关闭青龙面板默认5700端口的公网访问权限;若必须公网访问,不要直接映射端口,通过Cloudflare Zero Trust、Nginx反向代理做访问限制。
部署Nginx WAF拦截畸形路径:通过Nginx配置拦截
/API///aPi/等大小写变形的api路径,仅放行纯小写的/api///open/路径,阻断鉴权绕过的核心攻击方式(具体配置可参考青龙面板GitHub Issue#2934社区分享)。使用Docker容器隔离环境:确保青龙面板运行在Docker容器内,容器化隔离可有效防止攻击者通过漏洞穿透到服务器宿主机,即使容器被入侵,也不会影响服务器系统本身。
避免使用弱密码并定期更换:重置的密码需满足复杂性要求(字母大小写+数字+特殊字符,长度≥8位),并定期更换,不要使用面板默认账号、密码。
立即更新至最新版:本次高危漏洞出现在青龙面板2.20.1最新版本,2.17.11等老版本也存在部分漏洞。
拉取最新版镜像:
1
2
3
4
5
6
7docker pull whyour/qinglong:2.20.2
# 或
docker pull whyour/qinglong:2.20.2-debian
# 或
docker pull whyour/qinglong:latest
# 或
docker pull whyour/qinglong:debian检查面板日志和文件:重置密码后,查看青龙面板
log文件夹日志,检查是否有陌生IP执行命令、wget下载恶意文件的记录;同时检查面板目录下是否有可疑脚本、挖矿程序,发现后立即删除。
四、漏洞影响说明
- 未授权重置用户漏洞(#2933):覆盖青龙面板全版本,攻击者通过
/open/user/init接口,无需授权即可直接重置面板账号密码,导致异地登录、面板被恶意控制。 - 鉴权绕过RCE漏洞(#2934):主要影响2.20.0/2.20.1新版本,攻击者通过大小写变形的api路径(如
/aPi/)绕过JWT鉴权,调用/api/system/command-run接口执行系统命令,可下载恶意程序、植入挖矿脚本。
五、总结
本次青龙面板的两大高危漏洞危害性极强,且利用方式简单,已出现大量用户被攻击的案例,请务必第一时间执行命令重置账号密码,并按照本文的防护建议做好端口、访问限制。
及时更新到2.20.2以上的版本并重新检查防护配置;若发现服务器出现CPU占用过高、陌生进程、异地登录记录,立即停止青龙面板容器,备份重要脚本/数据后重建容器,避免造成更大的损失。