共计 909 个字符,预计需要花费 3 分钟才能阅读完成。
我 10 月份就被弄了,入侵者拥有 root 权限,已知,修改宝塔各种账号密码 +ssh 账号密码都是没用的。对方可以修改 nginx 的配置文件 + 数据库文件 + 网站根目录文件。
对方种马方式:nginx 配置文件,批量添加木马 js(伪装成 cdn)在网页 header 下面一行
并在网站目录各个地方留下后门,防止我堵死
在每个网站的个别 js 下加一段病毒代码
在数据库插入病毒代码(比如网站统计那一栏)
如何操作都不行,后面不吃不喝 3 天解决了。但已经损失好几个 w 了。
Mintian 发表于 2022-12-8 19:50
wc,这种 JS 植入不是很久之前都有了,现在还有漏洞
在 nginx 配置文件里一句话,这种很少见,搜索引擎里也找不到案例。是我自己排查出来的 wc,这种 JS 植入不是很久之前都有了,现在还有漏洞
小鸡真爱无疑 发表于 2022-12-8 19:52
在 nginx 配置文件里一句话,这种很少见,搜索引擎里也找不到案例。是我自己排查出来的 …
并不是一回事。这次是直接替换了 nginx 程序进行劫持。nginx 配置里面插入的代码有吗、、
吓得我赶紧去查下。。如何加固,求分享如何加固,求分享这个问题的原因目前也是众说纷纭,现在都不清楚是怎么黑进去把 nginx 替换了的,被迫用防火墙把中国以外地区屏蔽了。
榆木 发表于 2022-12-8 19:53
并不是一回事。这次是直接替换了 nginx 程序进行劫持。
原理一样啊,就是在网络协议这一层面动手。。。你在网站本地根本找不到问题这个是直接替换原先 nginx 程序,把加入了后门代码的 nginx 替换。能替换程序必须很高权限。
如果只针对,宝塔,那定与宝塔有关系,
如果 nginx 有漏洞。那波及面更广。如果是宝塔问题,这个洞其实很早就被利用了,8 月份就有人反馈了
叼爆小朋友 发表于 2022-12-8 19:57
这个问题的原因目前也是众说纷纭,现在都不清楚是怎么黑进去把 nginx 替换了的,被迫用防火墙把中国以外地区 …
怎么配置防火墙屏蔽国外的地区卧槽
hins 发表于 2022-12-8 21:50
怎么配置防火墙屏蔽国外的地区
宝塔 nginx 免费防火墙开启屏蔽国外
