当前位置:论坛首页 > Linux面板 > 求助

【已解答】宝塔登陆面板被恶意登陆

发表在 Linux面板2020-7-22 13:49 [复制链接] 8 7117

微信图片_20200722130557.png

宝塔后台在已经限制了服务器IP安全组和端口的情况下,仍然被黑客使用system账号登陆并上传恶意后门程序,造成了信息泄露。
使用道具 举报 只看该作者 回复
发表于 2020-7-22 14:22:26 | 显示全部楼层
您好,现在补救措施:
1、立即停止ssh远程登录,修改你的ssh密码,一定要符合规范(大小写字母数值特殊符号,),不要太随意
2、修改密码后,将自己的站点文件使用木马查杀功能全部扫描一遍
3、使用面板上的免费插件 Fail2ban防爆破,设置防御sshd服务(默认开启的)
使用道具 举报 回复 支持 反对
发表于 2020-7-22 14:37:30 | 显示全部楼层
SSH远程登陆是需要阿里云的密钥文件登陆的,未泄露过。已购买阿里云安全中心,木马已被隔离。
该服务器宝塔的地址访问已设置安全组指定IP才能访问,但是还是被人恶意攻破了。
并且登陆日志显示是用system账号登陆,现在怀疑是宝塔有漏洞,能直接登陆宝塔操作服务器。
使用道具 举报 回复 支持 反对
发表于 2020-7-22 14:45:23 | 显示全部楼层
有点邪乎,建议官方排查一下啥情况导致的,防不胜防最好的办法是定期备份,做好磁盘快照
使用道具 举报 回复 支持 反对
发表于 2020-7-22 14:50:29 | 显示全部楼层
chencong 发表于 2020-7-22 14:45
有点邪乎,建议官方排查一下啥情况导致的,防不胜防最好的办法是定期备份,做好磁盘快照 ...

攻击者很鸡贼,每次登陆之后马上就清空日志了。都来不及快照备份
使用道具 举报 回复 支持 反对
发表于 2020-7-22 16:24:23 | 显示全部楼层
运维阿宏 发表于 2020-7-22 14:22
您好,现在补救措施:
1、立即停止ssh远程登录,修改你的ssh密码,一定要符合规范(大小写字母数值特殊符号 ...

大佬,Linux系统怎么解开被锁的文件,那个病毒死都删除
不掉
使用道具 举报 回复 支持 反对
发表于 2020-7-22 17:46:40 | 显示全部楼层
那不是写着system用户登录失败了吗,感觉应该是项目漏洞,被传马了,控制好权限一般没大问题
可以看看网站防火墙有没有记录,木马文件看看是不是被加了属性锁定了,具体搜索Linux chattr命令
使用道具 举报 回复 支持 反对
发表于 2020-7-22 17:49:10 | 显示全部楼层
宝塔用户_xxkwkx 发表于 2020-7-22 17:46
那不是写着system用户登录失败了吗,感觉应该是项目漏洞,被传马了,控制好权限一般没大问题
可以看看网站 ...

项目审过了,对方是直接通过宝塔面板登陆上来,然后传的马
使用道具 举报 回复 支持 反对
发表于 2021-10-4 06:50:19 | 显示全部楼层
宝塔用户_byloly 发表于 2020-7-22 17:49
项目审过了,对方是直接通过宝塔面板登陆上来,然后传的马

最近我的宝塔也出现同样的问题,被system停用网站。 我现在依然不知道如何解决, 这几天,每天夜里12点就会出现网站被system用户停用
使用道具 举报 回复 支持 反对
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

普通问题处理

论坛响应时间:72小时

问题处理方式:排队(仅解答)

工作时间:白班:9:00 - 18:00

紧急运维服务

响应时间:3分钟

问题处理方式:宝塔专家1对1服务

工作时间:工作日:9:00 - 18:30

宝塔专业团队为您解决服务器疑难问题

立即付费处理

工作时间:09:00至24:00

快速回复 返回顶部 返回列表