【已解答】最近发现自己服务器nginx被劫持至灰产

如题，请官方大大解释一下吧，换了apache立马解决，服务器安全我做得很好，更换了默认端口，而且之前加了nginx防火墙，ssh防爆破，只能用密钥登录，网站程序防改程序，全是商业的插件，且DNS没有被劫持！

这要检查是不是nginx的配置文件有问题导致的，之前有用户的nginx的nginx二进制文件被修改了；
原因是服务器被入侵了，经过排查是直接登入服务器，得知密码是弱口令

我可以给你一个解决方案，将/www/server/nginx目录添加到系统加固插件中的关键目录保护里面，这样nginx二进制文件就不会被替换了

堡塔安全木兰 发表于 2022-7-22 23:58
这要检查是不是nginx的配置文件有问题导致的，之前有用户的nginx的nginx二进制文件被修改了；
原因是服务器 ...

查看了相关日志，没有发现被入侵，而且服务器相关密码无弱口令，官方是否可以排查一下是否为nginx相关漏洞所导致！

小小妈妈 发表于 2022-7-23 13:36
查看了相关日志，没有发现被入侵，而且服务器相关密码无弱口令，官方是否可以排查一下是否为nginx相关漏 ...

好的 这边会进行排查一下

我这两天也遇到了，没有发现入侵，密码端口什么的都是强密码，nginx二进制被替换，但是查看二进制的创建时间还是原来的，访问网站会自动在js文件中增加一窜代码，排查了很长时间，发现吧nginx二进制文件替换掉就正常了

运维Jason 发表于 2022-9-22 11:09
我这两天也遇到了，没有发现入侵，密码端口什么的都是强密码，nginx二进制被替换，但是查看二进制的创建时 ...

请问是如何替换的 出问题的是什么nginx版本 替换好后是什么版本

替换到最新版本好了几天，现在看又出现了，服务器上文件正常，访问js会增加一串代码，以为是有arp，但是相同机柜的ip找了几个访问上面的网站看没问题，是否能帮忙看下

新发帖中进行回复

nginx版本是那个呢？前段时间不是说nginx有些版本是有漏洞的吗？

.

运维Jason 发表于 2022-9-28 11:14
替换到最新版本好了几天，现在看又出现了，服务器上文件正常，访问js会增加一串代码，以为是有arp，但是相 ...

我的也出现相同问题 有找到解决办法吗

宝塔用户_jatimf 发表于 2022-10-15 17:12
我的也出现相同问题 有找到解决办法吗

您好！请问您这边是否解决问题了吗？还未解决的话这边建议重新发帖提问一下哦！感谢使用宝塔面板！

堡塔安全木兰 发表于 2022-7-22 23:58
这要检查是不是nginx的配置文件有问题导致的，之前有用户的nginx的nginx二进制文件被修改了；
原因是服务器 ...

几天后还是被篡改换了那个nginx还是被篡改

如果有这种现象问题的，编译方式重装一下nginx，然后被黑的时候检查一下md5值看看是不是nginx被篡改了。

1. md5sum /www/server/nginx/sbin/nginx
   
2. md5sum /www/backup/nginxBak
   
3. cat /www/server/panel/data/nginx_md5.pl

复制代码

1500174457cvnr 发表于 2022-12-6 23:01
我也遇到这个问题,暂时换到1.19 过几天看看..JS文件恶意代码 服务器上有找不到....
谁解决了回复下.. ...

您好！这边建议遇到问题，第一时间直接发帖提问哦！直接在其他帖子提问这边可能不能及时看到您的问题。感谢您的支持！

同个问题，他不发作了，我也懒得动