共计 783 个字符,预计需要花费 2 分钟才能阅读完成。
不太懂,
看有人说有 nginxBak 就是被黑,
我的是 aapanel,12 月 2 号才搭建,
连域名都没绑定,
用来下载 PT 自己在线看的,、直接访问 IP,用 nginx 把文件列出来在线看的,
搜了一下,有 nginxBak,但是文件日期是 12 月 2 号,
这肯定不是被黑吧,
这些说法都是猜测的。目前没有绝对的证据说明有 Nginxbak 就是被黑的表现。我确定了下,我的 nginxbak 应该不是被黑了,查了下日志正好都是这个时间安装 / 升级了 nginx,吓死了,还有个生产环境你这个都在备份目录下边 肯定是备份的 nginxbak 是升级后的备份,不是被黑的指标。难道不是在 sbin 下的 nginxbak 才是吗
monface 发表于 2022-12-9 10:40
nginxbak 是升级后的备份,不是被黑的指标。
那么盲猜漏洞应该和在线升级有关,应该是劫持了升级文件 url,然后中的马
yrj 发表于 2022-12-9 11:23
那么盲猜漏洞应该和在线升级有关,应该是劫持了升级文件 url,然后中的马 …
我也觉得是这个问题,我猜测黑客是对宝塔面板 nginx 升级的 url 做了 DNS 劫持,劫持到黑客指定服务器上面,让用户下载被种马了的 nginx,或者是劫持了其它相关 url,如果没有证书认证得话,劫持 http 很容易的。最终的目的就是启动 nginx 更新让用户通过被 DNS 劫持的 url 从黑客服务器上面下载被串改的 nginx
叼爆小朋友 发表于 2022-12-9 11:28
我也觉得是这个问题,我猜测黑客是对宝塔面板 nginx 升级的 url 做了 DNS 劫持,劫持到黑客指定服务器上面,让 …
有可能是可以越过鉴权的主动触发升级,因为如果是用户升级导致,可能大家会心里记得升级的事儿,但是目前看没人反馈之前升级了 nginx,所以我猜测,可能是某个漏洞,可以越过鉴权,主动升级 nginx。
