【官方公告】关于外传宝塔面板或Nginx异常的公告

当前有个别用户反馈被挂马的情况，均为海外服务器，我司立即组织技术团队跟进排查，经过2天的紧急排查，暂未发现Nginx以及面板的安全漏洞，结合用户反馈及分析统计，没有出现大规模被挂马的情况；少部分用户的海外服务器被挂马分析，此木马主要行为是篡改Nginx主程序，以达到篡改网站响应内容。目前累计收到20个用户反馈网站被挂马，均为境外服务器，我们继续全力跟进和协助用户排查Nginx挂马情况，直到溯源出结果。

当前我们已排查了所有服务器节点，检验了文件MD5值，官方安装源，无异常；审计了面板代码，无“0 day”漏洞。2020年9月份以来我司和补天漏洞*台联合发布宝塔面板百万悬赏漏洞征集活动，一个洞最高奖励10万元(税后)，漏洞征集地址：https://www.butian.net/Article/content/id/521，截止目前，暂未收到相关漏洞提交。在此向广大网友征集漏洞。

如果您对面板的安全性有顾虑，请参考以下设置

升级至最新版（最新版用户点击修复面板），修改安全入口及账号密码，开启动态口令认证。

服务器已被Nginx挂马的用户还需要做多几步操作：

1、清理木马，执行下面的命令即可自动化清理，命令会自动重装Nginx（清理木马之后请一定要清理浏览器缓存、有部署CDN的需要清理CDN缓存）

1. curl -sSO http://download.bt.cn/tools/wng_clean.py && python wng_clean.py && rm -rf wng_clean.py

复制代码

2、升级至最新版，修改安全入口及账号密码，开启动态口令认证
3、【企业版防篡改-重构版】插件可以有效防止网站被篡改，建议开启并设置root用户禁止修改文件（需要使用时再放开），另外，将nginx关键执行目录（/www/server/nginx/sbin）锁住
4、【宝塔系统加固】插件中的【关键目录加固】功能，可以将nginx关键执行目录（/www/server/nginx/sbin）锁住，此目录在正常使用中不会有任何修改的行为，除了重装以外其他修改行为均可视为被篡改，所以将它锁上。



关于网上误传nginxBak文件为木马的说明：


nginxBak文件是当在面板更新nginx时，面板会自动备份一份nginxBak文件，防止更新出现异常后无法进行恢复如之前的nginx版本为1.22.0，如果在面板点击更新，更新至1.22.1，就会备份一份1.22.0的主程序文件为nginxBak，同时文件大小不一致的话，是因为安装方式的不同，极速安装包的安装大小一般都为5M，编译方式安装的大小大约为10M以上，而更新走的是编译方式更新。以上nginxBak并非挂马文件。

下面是目前已知木马特征：
明显现象：访问自己的网站跳转到其他非法网站
如果出现了上面的现象，排查是否符合下面的特征
1、使用无痕模式访问目标网站的js文件，内容中包含：_0xd4d9  或  _0x2551  或  _0xb2ce  或  _0xafac  关键词的
2、面板日志、系统日志都被清空过的
3、/www/server/nginx/sbin/nginx 被替换的，或者存在 /www/server/nginx/conf/btwaf/config 文件的
4、*期安装的nginx存在 /www/server/panel/data/nginx_md5.pl 文件，可与现有文件进行比较确认是否被修改（nginx_md5.pl文件是我们用来记录上一次安装nginx时的md5值，如果您的网站异常了，可以打开这个文件跟现在的/www/server/nginx/sbin/nginx文件md5做对比）


如果已经出现明显挂马、异常跳转等问题，可以执行下面的命令进行清理
不确定是否符合？下面的命令也可以自行排查，有异常脚本会自动清理并重装nginx

1. curl -sSO http://download.bt.cn/tools/wng_clean.py && python wng_clean.py && rm -rf wng_clean.py

复制代码

请广大用户注意，如果已知是Nginx挂马且命令无法执行的，可以加我微信我协助您处理，其他挂马或没有出现问题的用户可以帖子交流，感谢使用宝塔面板。

官方电话：0769-23030556

企业微信：

这个问题我也遇到过，你说宝塔没有问题，又不能说出问题到底出在哪里，有说服力？用户怎么信服？建议官方对失陷服务器进行溯源，并且出具溯源报告。如果自己公司没有相关安全人员，可以找专业安全公司协助一下，这种大规模的安全事件建议宝塔还是重视对待。

[root@cp ~]# cd /www/server/nginx/sbin
[root@cp sbin]# curl -sSO -k https://download.bt.cn/tools/w_check.py && btpython w_check.py && rm -rf w_check.py
检测到异常木马文件： /var/tmp/systemd-private-56d86f7d8382402517f3b51625789161d2cb-chronyd.service-jP37av
检测到异常木马文件： /tmp/systemd-private-56d86f7d8382402517f3b5-jP37av
[root@cp sbin]#

已经中奖了。。。为啥说人家外面传的不属实。。。

宝塔用户_fydezo 发表于 2022-12-10 21:01
我之前也有服务器被黑了 我还保留着被植入的文件 可以提供点线索 看对你们有没有帮助 加这个帖子留的QQ  ...

我发个帖子就被宝塔删了。他们自己的演示站吧都被黑了还在说自己产品没问题。不知道他们怎么想的。

专业版用户。这个问题我最早在今年上半年就出现了

网传就是网传   有些人还用开心版呢

夏季未央 发表于 2022-12-13 08:47
演示站是开放的，谁都可以登录，放点东西很正常，不能说明什么。

你的无知令人感到担忧，你登录demo放个东西试试。

宝塔用户_xbykqn 发表于 2022-12-10 22:36
我发个帖子就被宝塔删了。他们自己的演示站吧都被黑了还在说自己产品没问题。不知道他们怎么想的。 ...

演示站是开放的，谁都可以登录，放点东西很正常，不能说明什么。

运行命令显示
显示 -bash: btpython: 未找到命令

这是中招了，还是没有中招？？？

没想到我也中招了，设置了重重验证登录，还是中招，使用的是nginx1.22，根本不是修改网页文件，直接就是nginx中招，开启nginx就有问题。
一大批网站，只能全部打包重装系统，重新部署。

1501473917vvpn 发表于 2022-12-9 10:58
是不是只要把宝塔一直关闭了，就可以完全杜绝这个问题？

那你下载宝塔的目的是？

是不是只要把宝塔一直关闭了，就可以完全杜绝这个问题？

关闭BT面板后，以前设置的计划任务还会继续定时执行吗。。。

宝塔漏洞都传疯了，官方要赶紧给出解决方案。个人测试后的效果是：

每台服务器都开启BasicAuth认证，部分网址出现异常跳转

nginx升级到1.22.1后，实测无效，部分网址出现异常跳转

目前我操作的方法是：数据下载本地杀毒后，服务器全格，重装最新版宝塔，重装最新版 nginx。麻烦但有效

nginx1.23。2好像没问题

demo.bt.cn挂了

A13e2 发表于 2022-12-9 11:09
nginx1.23。2好像没问题

最新版本的 1.22.1吧，1.23 啥时候出来的？

好在的是我的面板安装好后一直都是开启BasicAuth认证。

宝塔用户_swptaa 发表于 2022-12-9 11:05
宝塔漏洞都传疯了，官方要赶紧给出解决方案。个人测试后的效果是：

每台服务器都开启BasicAuth认证，部分 ...

被挂马的网址发来，大家伙帮你都看一下

宝塔用户_swptaa 发表于 2022-12-9 11:14
最新版本的 1.22.1吧，1.23 啥时候出来的？

宝塔面板7.9.6就有了

网站页面所有body后面都多了一串js跳转，查源码看不到，访问浏览器在浏览器内可以看到，就算是用宝塔新建网站使用宝塔的index也会出现。

1.22.0升级到1.22.1 没有对应的md5可以校对，bak文件的md5码可以校对
建议官方更新一下bug，/www/server/panel/data/nginx_md5.pl也能记录升级的md5码