共计 3230 个字符,预计需要花费 9 分钟才能阅读完成。
< 此消息为谣言, 但是具体确实有漏洞 >
速报:宝塔面板疑似出现全新高危漏洞,目前已出现大面积入侵
影响版本:7.9.6 及以下且使用 nginx 用户
风险等级:极高
处置建议: 停止使用 BT 面板且更换阿帕奇 [宝塔官方建议暂停面板]
排查方式: /www / server/ nginx/ sbin 目录下文件
1. nginx 11.80 MB
2. nginxBak 4.55 MB[木马]
3. nginx 4.51M [木马]
特征:
1. 大小 4.51
2. 时间近期
3.nginx&nginxBAK 双文件
入侵者通过该漏洞拥有 root 权限,受限于面板高权限运行,修改宝塔各种账号密码 +SSH 账号密码均为无效。
入侵者可以修改 nginx 配置文件 + 数据库文件 + 网站根目录文件
站点可能出现大量日志同时 CPU 异常占用,暂不清楚漏洞点,切勿随意点击清除日志按钮
注: 大量新装用户反馈出现挂马,目前 BT 官方源可能出现问题,建议暂停安装
来源:tg 频道 https://t.me/DNSPODT
< 此消息为谣言, 但是具体确实有漏洞 >
bt 帖子传送门 https://www.bt.cn/bbs/thread-105121-1-1.html
下面是目前已知木马特征:
明显现象:访问自己的网站跳转到其他非法网站
如果出现了上面的现象,则是否符合下面的特征
1、使用无痕模式访问目标网站的 js 文件,内容中包含:_0xd4d9 或_0x2551 关键词的
2、面板日志、系统日志都被清空过的
3、/www/server/nginx/sbin/nginx 被替换的,或者存在 /www/server/nginx/conf/btwaf/config 文件的
4、* 期安装的 nginx 存在 /www/server/panel/data/nginx_md5.pl 文件,可与现有文件进行比较确认是否被修改(nginx_md5.pl 文件是我们用来记录上一次安装 nginx 时的 md5 值,如果您的网站异常了,可以打开这个文件跟现在的 /www/server/nginx/sbin/nginx 文件 md5 做对比)
另外,未出现异常问题正常使用的用户,我们给出加固建议,如果您担心面板存在风险,可以登录终端执行 bt stop 命令停止面板服务 (开启服务命令是 bt restart),停止面板服务不会影响您网站的正常运行。
其次,宝塔面板中可以做出下面的措施进行网站、面板、服务器加固
1、升级面板到最新版,已经是最新版的,在首页修复面板,并开启 BasicAuth 认证
2、nginx 升级到当前主版本号的最新子版本,如 1.22.0 升级到 1.22.1,已经是最新版的,请卸载重装
3、因生产需要暂时无法升级面板或 nginx 的,开启 BasicAuth 认证,有条件的设置授权 IP
5、【企业版防篡改 - 重构版】插件可以有效防止网站被篡改,建议开启并设置 root 用户禁止修改文件(需要使用时再放开),另外,将 nginx 关键执行目录(/www/server/nginx/sbin)锁住
6、【宝塔系统加固】插件中的【关键目录加固】功能,可以将 nginx 关键执行目录(/www/server/nginx/sbin)锁住,此目录在正常使用中不会有任何修改的行为,除了重装以外其他修改行为均可视为被篡改,所以将它锁上。
如果已经出现明显挂马、异常跳转等问题,可以联系我免费帮忙处理跟进。
请广大网友注意,为了节省资源加速对该问题的处理,已经出问题的用户请联系我,可以加我的企业微信或者 qq 直接联系,没有出现问题的用户可以帖子留言,感谢使用宝塔面板。
官方电话:0769-23030556
QQ 号:1021266737
上一篇:你们哪阴性清零了吗?
下一篇:为什么感染了几次的我还没死?
这个纯属瞎几把扯淡
Bak 是升级 nginx 之前的备份文件,在一个 nginx 文件小和时间不对是因为 nginx 是使用的急速安装的直接下载的 rpm 包所以小和时间不对,感觉被侮辱了,每次漏洞我都有份,
并且每次人家都没刨我的站点,是有多看不起我啊
1. 如果是面板问题,那么换 apache 也没用,建议直接换面板。
2. 如果是 nginx 问题,nginx 以 www 用户运行,怎么做到提权修改所有者为 root 用户的文件?
综上,别担心了。处置建议简直搞笑,这孩子多读几天书吧,没事别出来教人。用的是 openlitespeed 应该没事把 X86 版本 10-15MB 大小,ARM 版本 30 左右,BAK 也是 9MB
大神 发表于 2022-12-9 02:39
这个纯属瞎几把扯淡
Bak 是升级 nginx 之前的备份文件,在一个 nginx 文件小和时间不对是因为 nginx 是使用的急速 …
发这条消息的人,,,压根没给出病毒特征,就是口嗨、起哄而已。。。
haozi 发表于 2022-12-9 02:15
1. 如果是面板问题,那么换 apache 也没用,建议直接换面板。
2. 如果是 nginx 问题,nginx 以 www 用户运行,怎么做 …
用宝塔的定时任务来执行一条 root 改密码指令,你看行?
看样子暂时还没事啊。不要编了 官方没有发过这样的公告把装 BT 的四台机器查了下都没有,只有个 nginx。。。是不是默认端口容易中招啊我的怎么都是 4.8m 如何修复这个问题???没啥问题啊 1. nginx 13.95 MB
只有这一个 1. 如果是面板问题,那么换 apache 也没用,建议直接换面板。
2. 如果是 nginx 问题,nginx 以 www 用户运行,怎么做到提权修改所有者为 root 用户的文件?
综上,别担心了。
haozi 发表于 2022-12-9 02:15
1. 如果是面板问题,那么换 apache 也没用,建议直接换面板。
2. 如果是 nginx 问题,nginx 以 www 用户运行,怎么做 …
用宝塔的定时任务来执行一条 root 改密码指令,你看行?我有 30 多台 BT,
现在发现,确实有 1 台现在说的这个情况,
非默认端口
bt 版本 7.7
nginx 版本 1.19.4
现在查出来多了个文件,但是不知道如何处理。
wxhscc 发表于 2022-12-9 02:17
用宝塔的定时任务来执行一条 root 改密码指令,你看行?
那也得先加进面板里面,而整个面板的权限为 600,所有者为 root,不太可能加进去吧。这个纯属瞎几把扯淡
Bak 是升级 nginx 之前的备份文件,在一个 nginx 文件小和时间不对是因为 nginx 是使用的急速安装的直接下载的 rpm 包所以小和时间不对,
大神 发表于 2022-12-9 02:39
这个纯属瞎几把扯淡
Bak 是升级 nginx 之前的备份文件,在一个 nginx 文件小和时间不对是因为 nginx 是使用的急速 …
发这条消息的人,,,压根没给出病毒特征,就是口嗨、起哄而已。。。我的好几台宝塔环境的服务器都被挂马了。不装宝塔不就好了。用 debian 几个命令就能解决的,非要安装个宝塔,结果还是没有塔基的宝塔。X86 版本 10-15MB 大小,ARM 版本 30 左右,BAK 也是 9MB4.8M 的,时间是 2022 年 6 月 2 日,这算啥,不过 ssh 是秘钥登陆
大神 发表于 2022-12-9 02:39
这个纯属瞎几把扯淡
Bak 是升级 nginx 之前的备份文件,在一个 nginx 文件小和时间不对是因为 nginx 是使用的急速 …
本次被黑问题 属实,并非几个人遇到,大面积
wxhscc 发表于 2022-12-9 02:12
感觉被侮辱了,每次漏洞我都有份,
并且每次人家都没刨我的站点,是有多看不起我啊
域名和服务器被人备份了。有奖当然先给你了我的也被入侵了,希望官网赶紧出方案,影响太大,昨天光重装加转移网站弄了四个多小时 mdserver-web 一切正常 nginx 4.55 不是近期,下载下来了,用什么打开? 用的是 openlitespeed 应该没事把反正已经没用宝塔了,这次就能看戏了。宝塔的安全意识太低了,做一堆功能出来,但是都没有把它维护好。作为一个面板最重要就是系统安全,这一点他们从头开始都没打算有什么改进,就是出事才补救,这样害了多少无知的使用者,也对不起付费的韭菜 nginx 大小应该跟版本有关吧?顶一下, 让更多 mjj 看到
