【已完成】从来没有安装过btwaf插件,但nginx在运行中配置文=
从来没有安装过btwaf插件,但nginx在运行中配置文件nginx.conf被篡改,原文件nginx.conf并没有任何改变的情况下,但使用nginx -T 2>&1命令,查看实际nginx运行加载的配置文件,发现被插入了btwaf功能代码块,由于该代码块有BUG,导致nginx运行过程中崩溃,又无法去除该代码块,由于没有安装过btwaf任何插件,也没有可关闭该功能的开关,被插入的代码块如下图:实际文件中/www/server/nginx/conf/nginx.conf 是没有这段代码的,但在nginx运行中就能查看到被篡改插入的。
并不一定能轻易复现该问题,不知道触发这个BUG的原因,每次出现都莫名奇妙的
您好,这并不是我司默认的Nginx配置文件,您这个是被人修改了,检测下服务器环境、系统、网站等各项安全项吧。如果需要我司安全服务,可以联系我司专属的运维安全客服经理
重启服务器,重启宝塔面板,关闭宝塔面板,重载nginx配置或重启nginx都没办法去除,在nginx.conf文件中该行没有任何include语句,很明显是在nginx运行时直接篡改插入的 研究了一下被篡改插入的代码块,有一段被加密的数据,解密后,发现疑似被挂马了,不好意思,是我没认真分析好,就误认为是宝塔的问题,来论坛发帖,解密后有一个域名“api.wafbt.com”,这应该不属于你们宝塔官方的资产吧,木马请求了该域 该木马病毒模拟了宝塔WAF,初看这些代码容易被误导
页:
[1]