【已解答】BT面板被入侵

Ubuntu 20.04 BT
BT面板被入侵，请官方同学协助排查漏洞。
谢谢！

你好，请问你如何判定面板遭到入侵了呢？详细描述一下具体的事由、如何发现的

面板访问日志在/www/server/panel/logs/下，建议优先排查这个日志，看登录途径；
另外，面板的操作日志在面板左侧--安全页面

面板账号密码爆破的话几乎不可能实现，5次就锁定ip了，除非设置的账号密码特别简单；其次如果系统的root密码设置也非常简单或者没有设置爆破限制的话，也有被爆破的风险，系统被入侵了想要得到面板登录权限是相当简单的

面板的操作日志在面板左侧--安全页面：
4月2日下午入侵者第一次尝试登录面板失败后不到1分钟就登录成功了，
之后进行了面板配置、创建目录、添加FTP用户、删除FTP用户、移动文件到回收站、添加FTP用户、备份数据库、压缩文件等操作，很可能已经下载了全站文件和数据库。

在阿里云安全中心有记录异地root信息，我们怀疑入侵者是通过宝塔SSH终端登录系统，修改了BT面板密码进行操作窃取文件和数据库的。

堡塔安全赤井秀一 发表于 2022-4-6 14:14
你好，请问你如何判定面板遭到入侵了呢？详细描述一下具体的事由、如何发现的

面板访问日志在/www/server/ ...

面板访问日志在/www/server/panel/logs/下，请问我们需要排查哪个日志文件？
谢谢！

bskj 发表于 2022-4-6 14:58
面板的操作日志在面板左侧--安全页面：
4月2日下午入侵者第一次尝试登录面板失败后不到1分钟就登录成功了， ...

根据你的描述，基本不用排查面板的登录日志了/www/server/panel/logs/

有异地SSH的root登录信息的话，是你的系统被爆破了，请检查系统的ssh登录日志，可以联系服务器商家协助排查；

宝塔SSH终端是安装到用户本地的，如果你的电脑被入侵，也存在被控制的危险

软件商店有防爆破插件，建议日后将这个插件装上，有SSH防爆破自动封禁ip的功能，非常好用

可以肯定入侵者是通过宝塔界面窃取数据的，我们怀疑宝塔面板存在未知漏洞，这个漏洞与宝塔SSH终端服务器端有关

bskj 发表于 2022-4-6 15:55
可以肯定入侵者是通过宝塔界面窃取数据的，我们怀疑宝塔面板存在未知漏洞，这个漏洞与宝塔SSH终端服务器端 ...

如果系统ssh被爆破成功，并且获取root账号的话，想要控制宝塔面板是非常容易的；
你可以查看面板左侧的安全页面，如果他登录了宝塔面板，会有异地ip显示在上面；

根据你的描述以及查看了异地root登录信息，是被入侵系统后窃取的资料，得到了root权限的话，即使没有宝塔面板的权限想要下载服务器的资料仅需要使用例如sftp工具直接下载即可

建议你日后增加对服务器的安全意识，除了搞复杂度的密码及前面提到的安全插件以外，软件商店还有一个SSH二次认证的插件，可以做到登录ssh时需要动态验证码；
此外，还可以设置服务器商家安全组仅对某个ip开放22端口