【已完成】从来没有安装过btwaf插件，但nginx在运行中配置文=

从来没有安装过btwaf插件，但nginx在运行中配置文件nginx.conf被篡改，原文件nginx.conf并没有任何改变的情况下，但使用nginx -T 2>&1命令，查看实际nginx运行加载的配置文件，发现被插入了btwaf功能代码块，由于该代码块有BUG，导致nginx运行过程中崩溃，又无法去除该代码块，由于没有安装过btwaf任何插件，也没有可关闭该功能的开关，被插入的代码块如下图：

实际文件中/www/server/nginx/conf/nginx.conf 是没有这段代码的，但在nginx运行中就能查看到被篡改插入的。
并不一定能轻易复现该问题，不知道触发这个BUG的原因，每次出现都莫名奇妙的

您好，这并不是我司默认的Nginx配置文件，您这个是被人修改了，检测下服务器环境、系统、网站等各项安全项吧。如果需要我司安全服务，可以联系我司专属的运维安全客服经理

重启服务器，重启宝塔面板，关闭宝塔面板，重载nginx配置或重启nginx都没办法去除，在nginx.conf文件中该行没有任何include语句，很明显是在nginx运行时直接篡改插入的

研究了一下被篡改插入的代码块，有一段被加密的数据，解密后，发现疑似被挂马了，不好意思，是我没认真分析好，就误认为是宝塔的问题，来论坛发帖，解密后有一个域名“api.wafbt.com”，这应该不属于你们宝塔官方的资产吧，木马请求了该域

该木马病毒模拟了宝塔WAF，初看这些代码容易被误导