【已回复】管理员账号被攻破！！！求救

无论我怎样root账号密码 修改面板端口 安全入口 面板管理员账号 密码 甚至启用动态口令认证 都无法阻止黑客登陆面板，并注入恶意文件。    面板已更新至最新版
并且在启用动态口令认证无效后，尝试关闭动态口令提示如下错误。


出错了，面板运行时发生错误！PermissionError: [Errno 1] Operation not permitted: '/www/server/panel/data/two_step_auth.txt' -> '/www/server/panel/data/bk_two_step_auth.txt'
REQUEST_DATE: 2021-08-10 23:06:50 REMOTE_ADDR: 27.189.206.110 REQUEST_URI: POST /config?action=set_two_step_authREQUEST_FORM: {'act': '0'}  USER_AGENT: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.198 Safari/537.36Traceback (most recent call last):  File "/www/server/panel/BTPanel/__init__.py", line 1648, in publicObject    return run_exec().run(toObject, defs, get)  File "/www/server/panel/BTPanel/__init__.py", line 1596, in run    result = getattr(toObject,get.action)(get)  File "class/config.py", line 1481, in set_two_step_auth    os.rename(self._key_file,self._bk_key_file)PermissionError: [Errno 1] Operation not permitted: '/www/server/panel/data/two_step_auth.txt' -> '/www/server/panel/data/bk_two_step_auth.txt'

如果修改了默认的除80  443外的所有端口。敌人想扫描到端口，也要一段时间吧
还有，服务器上的安全组打开，不用的端口，统统关上。
宝塔的安全打开，不用的端口，统统关上。
再检查一下所有的程序，有没有注入漏洞。
再按上面大炮管理员的，修改宝塔的所有默认的信息为自定义。
最后，设一个强强密码。
我想，对付一般小工具黑客，足够了。

您好，高强度的密码在当今的互联网时代没那么容易被攻破，除非是密码泄露、网站、程序有漏洞所以别人有可乘之机。

除了软件上的安全防御以外，下面的建议您细看
防挂马、篡改、恶意提权的小防护攻略。
1.网站上线前，对自己的项目用常用的一些工具进行程序漏洞安全扫描，并且做多份备份；
2.为了安全起见，网站后台管理地址经常改，改完做多份纪录保存，并且做好历史修改记录；
3.默认数据库名称要改，能复杂尽量复杂，用好复制粘贴按键；
4.后台启用验证码登录模块，不要怕麻烦，人家弄你网站的人都不嫌麻烦；
5.做好网站防护，比如非法上传文件、会员上传恶意文件的功能等，装好web防火墙；
6.服务器主机的ssh能不开就不能，尽量少使用root用户登录；即使登录也做好登录限制为仅允许自己的ip，高强度复杂的密码是第一必设项；
7.宝塔面板有多个辅助防护插件，例如调用系统防火墙、web防火墙、php安全防护、防篡改、防提权等。

另外，动态口令认证问题，根据您给的错误资料中可以得出，文件在写信息过去的时候提示权限拒绝了，请检查是否开启系统加固、防篡改等保护了该文件。

堡塔安全赤井秀一 发表于 2021-8-11 09:35
您好，高强度的密码在当今的互联网时代没那么容易被攻破，除非是密码泄露、网站、程序有漏洞所以别人有可乘 ...

已卸载系统加固、防篡改功能。关闭动态口令认证依然提示错误

haijie865 发表于 2021-8-11 15:30
已卸载系统加固、防篡改功能。关闭动态口令认证依然提示错误

下次先解锁再卸载，现在执行下面这条命令

1. chattr -iR /www/*

复制代码

https://www.bt.cn/bbs/thread-48577-1-1.html
面板安全的可以参考下这个教程

我在面包关闭了ssh，同时启用了Basicauth验证码。现在，连Basic auth验证码都给我改了。我现在自己都无法登录面板了。。求解。主要是ssh关闭了，用的独立服务器。

在网上看到了一个阿里云服务器远程连接的教程，但是我用的独服，没有远程连接。

haijie865 发表于 2021-8-12 19:14
在网上看到了一个阿里云服务器远程连接的教程，但是我用的独服，没有远程连接。 ...

你用的独立物理服务器，SSH也关了，你就要找机房的人帮你登录ROOT了

你用独立服务器，只能靠宝塔的端口规则，就是宝塔安全，来关闭不用的端口。还有，把除80 443外的所有端口，修改成别的。

肯定是绕过了basic auth登录了面板给我修改了basic auth密码。。之前我每次发现问题登录面板看管理日志都会被他清空。。。修改端口，绑定域名，关闭多余端口，修改s关闭ssh。手机app登录，我都试了，阻挡不了他登录我的面板

再罗列一下更细的。
因为你不是用的云服务器。使用物理服务器，确实风险高于云服务器，失去了安全组的保护。详述如下：

1、为面板绑定一个访问域名。
2、面板管理入口修改一个没有规律的，但要记在你的TXT中的一串英文。比如 ZAIHEIWOJIUBEICHEZHUANG。
3、面板端口8888修改成你自定义的，假若是18888。【修改前，先在安全中放行新的端口，不然把自己关在门外了】
4、如果你有第二台WIN服务器，作为跳板，就开通 授权IP 登录。你管理时，先3389至你的WIN服务器，再从WIn服务下，IE中访问宝塔。
5、如果你上网是固定的IP地址，那也开通  授权IP 功能。
6、把所有用不到的端口，全关上。利用排除法，通用的应用场景的应用，就开通以下端口：
80、443  这二个不能修改成自定义端口。
8888 宝塔面板端口，修改为17788
22 远程SSH端口，修改为18822
3306 数据库端口，修改为12306
21 FTP端口，修改为18821，也可以关闭FTP，不用它
6379 redis端口修改为：16379
888  phpMyAdmin端口修改为：10888，平时，也关闭它不用
基本上就是这些端口了。
先在宝塔安全中，添加上新端口。放行。
然后，修改旧端口为新端口后，在安全中，删除掉旧端口。

haijie865 发表于 2021-8-12 19:30
肯定是绕过了basic auth登录了面板给我修改了basic auth密码。。之前我每次发现问题登录面板看管理日志都会 ...

不会是内鬼。只有我自己在用。是否存在被植入恶意代码，可以返回我设置的各种密码信息

现在就差指定ip登录没试过了。

haijie865 发表于 2021-8-12 19:42
现在就差指定ip登录没试过了。

即使他通过木马获得我的密码信息。可是之前我设置了宝塔app登录。也无法阻挡他登录面板，每一次他登录面板最后都会清空操作日志。。