当前位置:论坛首页 > Linux面板 > 求助

【已完成】宝塔postgresql疑感染勒索病毒,请官方检查安装包

发表在 Linux面板2023-10-16 02:27 [复制链接] 6 2922

为了能快速了解并处理您的问题,请提供以下基础信息:
面板、插件版本:

linux版本8.0.3,PostgreSQL管理器 2.0,postgresql 13.6
系统版本:

CentOS 7.9.2009 x86_64(Py3.7.9)
问题描述:

新服务器,无其它服务提供,仅安装postgresql,排除其它服务导致的系统漏洞被黑客提权利用进入系统。服务器强root密码,排除弱密码攻击。
重装postgres依然出现数据库被删除情况
在不止一台服务器上出现问题(出现该问题的数据库均为9月底安装的,有一台服务器是之前安装的postgres没问题)
勒索者将数据库内全部库删除,建立readme_to_recover库,库内建立readme表,表内2条记录,
  1. All your data is backed up. You must pay 0.0125 BTC to 14B8iRn9k76fTmgvax4ZPyJDWqM67nrA8v In 48 hours, your data will be publicly disclosed and deleted. (more information: go to http://iplis.ru/data3)
复制代码
  1. After paying send mail to us: rambler+3v726@onionmail.org and we will provide a link for you to download your data. Your DBCODE is: 3V726
复制代码

目前在论坛上发现有同样遭遇的宝塔用户(勒索收件地址都一模一样),故强烈怀疑为宝塔的postgres安装包带勒索病毒或后门。请官方检查。
https://www.bt.cn/bbs/forum.php? ... ighlight=postgresql

相关截图(日志、错误):

1.png 3.png

2.png


使用道具 举报 只看该作者 回复
发表于 2023-10-17 15:54:05 | 显示全部楼层
请版主关注一下哈。
使用道具 举报 回复 支持 反对
发表于 2023-10-17 21:53:39 | 显示全部楼层
您好,我司的安装脚本是开源的,您可以自行检查一下,另外安装包也是postgresql官方的源码进行编译的,您也可以自行下载源码包进行校验核实。
脚本路径在/www/server/panel/plugin/pgsql_manager/pgsql_install.sh
14.2源码包https://download.bt.cn/src/postgresql-14.2.tar.gz
使用道具 举报 回复 支持 反对
发表于 2023-11-10 22:02:09 | 显示全部楼层
奇怪了,我也碰到了相同的问题,也是新安装的 postgresql  14.2 还好我只是拿来做测试的,也出现自动删库的情况。一开始我以为是我误操作。后来发现,只要过一段时间。库就会自动被删除。
使用道具 举报 回复 支持 反对
发表于 2023-12-13 21:35:01 | 显示全部楼层
360截图20231213213356862.jpg 我用了六七年了,这个月5号被感染勒索病毒,目前估计系统全部废了
使用道具 举报 回复 支持 反对
发表于 2023-12-14 16:55:28 | 显示全部楼层
我的也中招了,这可怎么办,一模一样的地址和操作手法
使用道具 举报 回复 支持 反对
发表于 2023-12-14 17:11:05 | 显示全部楼层
我去,…
删库非小事,我去看看自己的
使用道具 举报 回复 支持 反对
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

普通问题处理

论坛响应时间:72小时

问题处理方式:排队(仅解答)

工作时间:白班:9:00 - 18:00

紧急运维服务

响应时间:3分钟

问题处理方式:宝塔专家1对1服务

工作时间:工作日:9:00 - 18:30

宝塔专业团队为您解决服务器疑难问题

立即付费处理

工作时间:09:00至24:00

快速回复 返回顶部 返回列表