当前位置:论坛首页 > Linux面板 > 求助

【已解答】BT面板被入侵

发表在 Linux面板2022-4-6 14:05 [复制链接] 6 5412

发表于 2022-4-6 14:14:21 | 显示全部楼层
你好,请问你如何判定面板遭到入侵了呢?详细描述一下具体的事由、如何发现的

面板访问日志在/www/server/panel/logs/下,建议优先排查这个日志,看登录途径;
另外,面板的操作日志在面板左侧--安全页面

面板账号密码爆破的话几乎不可能实现,5次就锁定ip了,除非设置的账号密码特别简单;其次如果系统的root密码设置也非常简单或者没有设置爆破限制的话,也有被爆破的风险,系统被入侵了想要得到面板登录权限是相当简单的
使用道具 举报 回复 支持 反对
发表于 2022-4-6 14:58:21 | 显示全部楼层
面板的操作日志在面板左侧--安全页面:
4月2日下午入侵者第一次尝试登录面板失败后不到1分钟就登录成功了,
之后进行了面板配置、创建目录、添加FTP用户、删除FTP用户、移动文件到回收站、添加FTP用户、备份数据库、压缩文件等操作,很可能已经下载了全站文件和数据库。

在阿里云安全中心有记录异地root信息,我们怀疑入侵者是通过宝塔SSH终端登录系统,修改了BT面板密码进行操作窃取文件和数据库的。
使用道具 举报 回复 支持 反对
发表于 2022-4-6 14:59:28 | 显示全部楼层
堡塔安全赤井秀一 发表于 2022-4-6 14:14
你好,请问你如何判定面板遭到入侵了呢?详细描述一下具体的事由、如何发现的

面板访问日志在/www/server/ ...

面板访问日志在/www/server/panel/logs/下,请问我们需要排查哪个日志文件?
谢谢!
使用道具 举报 回复 支持 反对
发表于 2022-4-6 15:05:23 | 显示全部楼层
bskj 发表于 2022-4-6 14:58
面板的操作日志在面板左侧--安全页面:
4月2日下午入侵者第一次尝试登录面板失败后不到1分钟就登录成功了, ...

根据你的描述,基本不用排查面板的登录日志了/www/server/panel/logs/

有异地SSH的root登录信息的话,是你的系统被爆破了,请检查系统的ssh登录日志,可以联系服务器商家协助排查;

宝塔SSH终端是安装到用户本地的,如果你的电脑被入侵,也存在被控制的危险

软件商店有防爆破插件,建议日后将这个插件装上,有SSH防爆破自动封禁ip的功能,非常好用
使用道具 举报 回复 支持 反对
发表于 2022-4-6 15:55:16 | 显示全部楼层
可以肯定入侵者是通过宝塔界面窃取数据的,我们怀疑宝塔面板存在未知漏洞,这个漏洞与宝塔SSH终端服务器端有关
使用道具 举报 回复 支持 反对
发表于 2022-4-8 18:16:18 | 显示全部楼层
bskj 发表于 2022-4-6 15:55
可以肯定入侵者是通过宝塔界面窃取数据的,我们怀疑宝塔面板存在未知漏洞,这个漏洞与宝塔SSH终端服务器端 ...

如果系统ssh被爆破成功,并且获取root账号的话,想要控制宝塔面板是非常容易的;
你可以查看面板左侧的安全页面,如果他登录了宝塔面板,会有异地ip显示在上面;

根据你的描述以及查看了异地root登录信息,是被入侵系统后窃取的资料,得到了root权限的话,即使没有宝塔面板的权限想要下载服务器的资料仅需要使用例如sftp工具直接下载即可

建议你日后增加对服务器的安全意识,除了搞复杂度的密码及前面提到的安全插件以外,软件商店还有一个SSH二次认证的插件,可以做到登录ssh时需要动态验证码;
此外,还可以设置服务器商家安全组仅对某个ip开放22端口
使用道具 举报 回复 支持 反对
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

普通问题处理

论坛响应时间:72小时

问题处理方式:排队(仅解答)

工作时间:白班:9:00 - 18:00

紧急运维服务

响应时间:3分钟

问题处理方式:宝塔专家1对1服务

工作时间:工作日:9:00 - 18:30

宝塔专业团队为您解决服务器疑难问题

立即付费处理

工作时间:09:00至24:00

快速回复 返回顶部 返回列表