当前位置:论坛首页 > Linux面板 > 建议

【官方公告】关于外传宝塔面板或Nginx异常的公告

发表在 Linux面板2022-12-9 10:18   [复制链接] 159 94105

当前有个别用户反馈被挂马的情况,均为海外服务器,我司立即组织技术团队跟进排查,经过2天的紧急排查,暂未发现Nginx以及面板的安全漏洞,结合用户反馈及分析统计,没有出现大规模被挂马的情况;少部分用户的海外服务器被挂马分析,此木马主要行为是篡改Nginx主程序,以达到篡改网站响应内容。目前累计收到20个用户反馈网站被挂马,均为境外服务器,我们继续全力跟进和协助用户排查Nginx挂马情况,直到溯源出结果。

当前我们已排查了所有服务器节点,检验了文件MD5值,官方安装源,无异常;审计了面板代码,无“0 day”漏洞。2020年9月份以来我司和补天漏洞*台联合发布宝塔面板百万悬赏漏洞征集活动,一个洞最高奖励10万元(税后),漏洞征集地址:https://www.butian.net/Article/content/id/521,截止目前,暂未收到相关漏洞提交。在此向广大网友征集漏洞。

如果您对面板的安全性有顾虑,请参考以下设置

升级至最新版(最新版用户点击修复面板),修改安全入口及账号密码,开启动态口令认证。

服务器已被Nginx挂马的用户还需要做多几步操作:

1、清理木马,执行下面的命令即可自动化清理,命令会自动重装Nginx(清理木马之后请一定要清理浏览器缓存、有部署CDN的需要清理CDN缓存)
  1. curl -sSO http://download.bt.cn/tools/wng_clean.py && python wng_clean.py && rm -rf wng_clean.py
复制代码
2、升级至最新版,修改安全入口及账号密码,开启动态口令认证
3、【企业版防篡改-重构版】插件可以有效防止网站被篡改,建议开启并设置root用户禁止修改文件(需要使用时再放开),另外,将nginx关键执行目录(/www/server/nginx/sbin)锁住
4、【宝塔系统加固】插件中的【关键目录加固】功能,可以将nginx关键执行目录(/www/server/nginx/sbin)锁住,此目录在正常使用中不会有任何修改的行为,除了重装以外其他修改行为均可视为被篡改,所以将它锁上。




关于网上误传nginxBak文件为木马的说明

QQ截图20221209103504.png
nginxBak文件是当在面板更新nginx时,面板会自动备份一份nginxBak文件,防止更新出现异常后无法进行恢复如之前的nginx版本为1.22.0,如果在面板点击更新,更新至1.22.1,就会备份一份1.22.0的主程序文件为nginxBak,同时文件大小不一致的话,是因为安装方式的不同,极速安装包的安装大小一般都为5M,编译方式安装的大小大约为10M以上,而更新走的是编译方式更新。以上nginxBak并非挂马文件。

下面是目前已知木马特征:
明显现象:访问自己的网站跳转到其他非法网站
如果出现了上面的现象,排查是否符合下面的特征
1、使用无痕模式访问目标网站的js文件,内容中包含:_0xd4d9  或  _0x2551  或  _0xb2ce  或  _0xafac  关键词的
2、面板日志、系统日志都被清空过的
3、/www/server/nginx/sbin/nginx 被替换的,或者存在 /www/server/nginx/conf/btwaf/config 文件的
4、*期安装的nginx存在 /www/server/panel/data/nginx_md5.pl 文件,可与现有文件进行比较确认是否被修改(nginx_md5.pl文件是我们用来记录上一次安装nginx时的md5值,如果您的网站异常了,可以打开这个文件跟现在的/www/server/nginx/sbin/nginx文件md5做对比)


如果已经出现明显挂马、异常跳转等问题,可以执行下面的命令进行清理
不确定是否符合?下面的命令也可以自行排查,有异常脚本会自动清理并重装nginx
  1. curl -sSO http://download.bt.cn/tools/wng_clean.py && python wng_clean.py && rm -rf wng_clean.py
复制代码


请广大用户注意,如果已知是Nginx挂马且命令无法执行的,可以加我微信我协助您处理,其他挂马或没有出现问题的用户可以帖子交流,感谢使用宝塔面板。

官方电话:0769-23030556

企业微信:

大炮微信二维码.jpg
使用道具 举报 只看该作者 回复
发表于 2022-12-11 10:58:58 | 显示全部楼层
这个问题我也遇到过,你说宝塔没有问题,又不能说出问题到底出在哪里,有说服力?用户怎么信服?建议官方对失陷服务器进行溯源,并且出具溯源报告。如果自己公司没有相关安全人员,可以找专业安全公司协助一下,这种大规模的安全事件建议宝塔还是重视对待。

支持给个解释:www.tsyvps.com  发表于 2022-12-21 20:06
使用道具 举报 回复 支持 10 反对 1
发表于 2022-12-12 22:54:36 | 显示全部楼层
[root@cp ~]# cd /www/server/nginx/sbin
[root@cp sbin]# curl -sSO -k https://download.bt.cn/tools/w_check.py && btpython w_check.py && rm -rf w_check.py
检测到异常木马文件: /var/tmp/systemd-private-56d86f7d8382402517f3b51625789161d2cb-chronyd.service-jP37av
检测到异常木马文件: /tmp/systemd-private-56d86f7d8382402517f3b5-jP37av
[root@cp sbin]#

已经中奖了。。。为啥说人家外面传的不属实。。。

我的服务器也出现这个了,网站老是跳转到黄站上去  发表于 2023-1-6 15:03
也是奇怪,这么久了,还没排查出来。  发表于 2022-12-13 08:54
你看看删了多少回帖就知道了,可能他们真的不知道哪里出问题了  发表于 2022-12-13 01:46
使用道具 举报 回复 支持 4 反对 0
发表于 2022-12-10 22:36:07 | 显示全部楼层
宝塔用户_fydezo 发表于 2022-12-10 21:01
我之前也有服务器被黑了 我还保留着被植入的文件 可以提供点线索 看对你们有没有帮助 加这个帖子留的QQ  ...

我发个帖子就被宝塔删了。他们自己的演示站吧都被黑了还在说自己产品没问题。不知道他们怎么想的。
使用道具 举报 回复 支持 3 反对 0
发表于 2022-12-9 11:36:05 | 显示全部楼层
专业版用户。这个问题我最早在今年上半年就出现了
使用道具 举报 回复 支持 3 反对 0
发表于 2022-12-9 11:29:29 | 显示全部楼层
网传就是网传   有些人还用开心版呢
使用道具 举报 回复 支持 1 反对 2
发表于 2022-12-13 10:27:27 | 显示全部楼层
夏季未央 发表于 2022-12-13 08:47
演示站是开放的,谁都可以登录,放点东西很正常,不能说明什么。

你的无知令人感到担忧,你登录demo放个东西试试。

@桥哥 那为什么aapanel的后台不行呢?  发表于 2022-12-13 12:51
演示站本身是开放的,可以正常创建网站,修改文件及安装软件。所以出现被用户恶意修改面板名称等恶搞的行为。现已关闭登录。  发表于 2022-12-13 11:15
使用道具 举报 回复 支持 1 反对 1
发表于 2022-12-13 08:47:00 | 显示全部楼层
宝塔用户_xbykqn 发表于 2022-12-10 22:36
我发个帖子就被宝塔删了。他们自己的演示站吧都被黑了还在说自己产品没问题。不知道他们怎么想的。 ...

演示站是开放的,谁都可以登录,放点东西很正常,不能说明什么。
使用道具 举报 回复 支持 1 反对 1
发表于 2022-12-9 22:32:07 | 显示全部楼层
运行命令显示
显示 -bash: btpython: 未找到命令

这是中招了,还是没有中招???
使用道具 举报 回复 支持 1 反对 1
发表于 2022-12-27 01:13:19 | 显示全部楼层
没想到我也中招了,设置了重重验证登录,还是中招,使用的是nginx1.22,根本不是修改网页文件,直接就是nginx中招,开启nginx就有问题。
一大批网站,只能全部打包重装系统,重新部署。
使用道具 举报 回复 支持 1 反对 0
发表于 2022-12-9 11:03:29 | 显示全部楼层
1501473917vvpn 发表于 2022-12-9 10:58
是不是只要把宝塔一直关闭了,就可以完全杜绝这个问题?

那你下载宝塔的目的是?
使用道具 举报 回复 支持 0 反对 1
发表于 2022-12-9 10:58:34 | 显示全部楼层
是不是只要把宝塔一直关闭了,就可以完全杜绝这个问题?
使用道具 举报 回复 支持 反对
发表于 2022-12-9 11:02:56 | 显示全部楼层
关闭BT面板后,以前设置的计划任务还会继续定时执行吗。。。
使用道具 举报 回复 支持 0 反对 1
发表于 2022-12-9 11:05:48 | 显示全部楼层
宝塔漏洞都传疯了,官方要赶紧给出解决方案。个人测试后的效果是:

每台服务器都开启BasicAuth认证,部分网址出现异常跳转

nginx升级到1.22.1后,实测无效,部分网址出现异常跳转

目前我操作的方法是:数据下载本地杀毒后,服务器全格,重装最新版宝塔,重装最新版 nginx。麻烦但有效

网传的nginxBak文件是木马是不属实的,nginxBak是当面板更新nginx时,面板会自动备份一份nginxBak文件,至于大小不同是因为极速安装和编译安装的区别。  发表于 2022-12-9 14:47
使用道具 举报 回复 支持 反对
发表于 2022-12-9 11:09:36 | 显示全部楼层
nginx1.23。2好像没问题
使用道具 举报 回复 支持 反对
发表于 2022-12-9 11:11:14 | 显示全部楼层
demo.bt.cn挂了
使用道具 举报 回复 支持 反对
发表于 2022-12-9 11:14:18 | 显示全部楼层
A13e2 发表于 2022-12-9 11:09
nginx1.23。2好像没问题

最新版本的 1.22.1吧,1.23 啥时候出来的?
使用道具 举报 回复 支持 反对
发表于 2022-12-9 11:16:08 | 显示全部楼层
好在的是我的面板安装好后一直都是开启BasicAuth认证。
使用道具 举报 回复 支持 反对
发表于 2022-12-9 11:16:15 | 显示全部楼层
宝塔用户_swptaa 发表于 2022-12-9 11:05
宝塔漏洞都传疯了,官方要赶紧给出解决方案。个人测试后的效果是:

每台服务器都开启BasicAuth认证,部分 ...

被挂马的网址发来,大家伙帮你都看一下
使用道具 举报 回复 支持 反对
发表于 2022-12-9 11:18:51 | 显示全部楼层
宝塔用户_swptaa 发表于 2022-12-9 11:14
最新版本的 1.22.1吧,1.23 啥时候出来的?

宝塔面板7.9.6就有了
屏幕截图 2022-12-09 111823.jpg
使用道具 举报 回复 支持 反对
发表于 2022-12-9 11:47:32 | 显示全部楼层
网站页面所有body后面都多了一串js跳转,查源码看不到,访问浏览器在浏览器内可以看到,就算是用宝塔新建网站使用宝塔的index也会出现。

是的  发表于 2022-12-9 13:14
使用道具 举报 回复 支持 反对
发表于 2022-12-9 12:20:06 | 显示全部楼层
1.22.0升级到1.22.1 没有对应的md5可以校对,bak文件的md5码可以校对
建议官方更新一下bug,/www/server/panel/data/nginx_md5.pl也能记录升级的md5码
使用道具 举报 回复 支持 反对
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

普通问题处理

论坛响应时间:72小时

问题处理方式:排队(仅解答)

工作时间:白班:9:00 - 18:00

紧急运维服务

响应时间:3分钟

问题处理方式:宝塔专家1对1服务

工作时间:工作日:9:00 - 18:30

宝塔专业团队为您解决服务器疑难问题

立即付费处理

工作时间:09:00至24:00

快速回复 返回顶部 返回列表