全球主机交流论坛

标题: bt面板漏洞还在查之前所发的是谣言 bt官网发布进来看 [打印本页]

作者: langer 时间: 2022-12-9 01:59
标题: bt面板漏洞还在查之前所发的是谣言 bt官网发布进来看
本帖最后由 langer 于 2022-12-9 11:37 编辑

<此消息为谣言,但是具体确实有漏洞>
速报：宝塔面板疑似出现全新高危漏洞，目前已出现大面积入侵

影响版本：7.9.6及以下且使用nginx用户

风险等级：极高

处置建议: 停止使用BT面板且更换阿帕奇 [宝塔官方建议暂停面板]

排查方式: /www / server/ nginx/ sbin 目录下文件

1. nginx 11.80 MB
2. nginxBak 4.55 MB[木马]
3. nginx 4.51M [木马]

特征:
1.大小4.51
2.时间近期
3.nginx＆nginxBAK双文件

入侵者通过该漏洞拥有root权限，受限于面板高权限运行，修改宝塔各种账号密码+SSH账号密码均为无效。

入侵者可以修改nginx配置文件+数据库文件+网站根目录文件

站点可能出现大量日志同时CPU异常占用，暂不清楚漏洞点，切勿随意点击清除日志按钮

注: 大量新装用户反馈出现挂马，目前BT官方源可能出现问题，建议暂停安装

来源：tg 频道 https://t.me/DNSPODT

<此消息为谣言,但是具体确实有漏洞>
bt帖子传送门https://www.bt.cn/bbs/thread-105121-1-1.html
下面是目前已知木马特征：
明显现象：访问自己的网站跳转到其他非法网站
如果出现了上面的现象，则是否符合下面的特征
1、使用无痕模式访问目标网站的js文件，内容中包含：_0xd4d9 或 _0x2551 关键词的
2、面板日志、系统日志都被清空过的
3、/www/server/nginx/sbin/nginx 被替换的，或者存在 /www/server/nginx/conf/btwaf/config 文件的
4、*期安装的nginx存在 /www/server/panel/data/nginx_md5.pl 文件，可与现有文件进行比较确认是否被修改（nginx_md5.pl文件是我们用来记录上一次安装nginx时的md5值，如果您的网站异常了，可以打开这个文件跟现在的/www/server/nginx/sbin/nginx文件md5做对比）

另外，未出现异常问题正常使用的用户，我们给出加固建议，如果您担心面板存在风险，可以登录终端执行bt stop命令停止面板服务(开启服务命令是bt restart)，停止面板服务不会影响您网站的正常运行。

其次，宝塔面板中可以做出下面的措施进行网站、面板、服务器加固
1、升级面板到最新版，已经是最新版的，在首页修复面板，并开启BasicAuth认证
2、nginx升级到当前主版本号的最新子版本，如1.22.0升级到1.22.1，已经是最新版的，请卸载重装
3、因生产需要暂时无法升级面板或nginx的，开启BasicAuth认证，有条件的设置授权IP
5、【企业版防篡改-重构版】插件可以有效防止网站被篡改，建议开启并设置root用户禁止修改文件（需要使用时再放开），另外，将nginx关键执行目录（/www/server/nginx/sbin）锁住
6、【宝塔系统加固】插件中的【关键目录加固】功能，可以将nginx关键执行目录（/www/server/nginx/sbin）锁住，此目录在正常使用中不会有任何修改的行为，除了重装以外其他修改行为均可视为被篡改，所以将它锁上。

如果已经出现明显挂马、异常跳转等问题，可以联系我免费帮忙处理跟进。
请广大网友注意，为了节省资源加速对该问题的处理，已经出问题的用户请联系我，可以加我的企业微信或者qq直接联系，没有出现问题的用户可以帖子留言，感谢使用宝塔面板。

官方电话：0769-23030556
QQ号：1021266737

作者: zhujizixun 时间: 2022-12-9 02:04
不要编了官方没有发过这样的公告

作者: SuperMaster 时间: 2022-12-9 02:05

看样子暂时还没事啊。

作者: 城里的月光 时间: 2022-12-9 02:05
把装BT的四台机器查了下都没有，只有个nginx。。。是不是默认端口容易中招啊

作者: 雁过拔毛的MJJ 时间: 2022-12-9 02:06
我的怎么都是4.8m

作者: zhujizixun 时间: 2022-12-9 02:09
处置建议简直搞笑，这孩子多读几天书吧，没事别出来教人。

作者: lastfree 时间: 2022-12-9 02:10
如何修复这个问题？？？

作者: 今晚不吃饭 时间: 2022-12-9 02:11
没啥问题啊

作者: wxhscc 时间: 2022-12-9 02:12
感觉被侮辱了，每次漏洞我都有份，
并且每次人家都没刨我的站点，是有多看不起我啊

作者: ban 时间: 2022-12-9 02:12
1. nginx 13.95 MB
只有这一个

作者: haozi 时间: 2022-12-9 02:15
1.如果是面板问题，那么换apache也没用，建议直接换面板。
2.如果是nginx问题，nginx以www用户运行，怎么做到提权修改所有者为root用户的文件？

综上，别担心了。

作者: wxhscc 时间: 2022-12-9 02:17

haozi 发表于 2022-12-9 02:15
1.如果是面板问题，那么换apache也没用，建议直接换面板。
2.如果是nginx问题，nginx以www用户运行，怎么做 ...

用宝塔的定时任务来执行一条 root 改密码指令，你看行？

作者: lastfree 时间: 2022-12-9 02:19
我有30多台BT，
现在发现，确实有1台现在说的这个情况，
非默认端口
bt 版本 7.7
nginx 版本 1.19.4

现在查出来多了个文件，但是不知道如何处理。

作者: haozi 时间: 2022-12-9 02:24

wxhscc 发表于 2022-12-9 02:17
用宝塔的定时任务来执行一条 root 改密码指令，你看行？

那也得先加进面板里面，而整个面板的权限为600，所有者为root，不太可能加进去吧。

作者: 大神 时间: 2022-12-9 02:39
这个纯属瞎几把扯淡
Bak是升级nginx之前的备份文件，在一个nginx文件小和时间不对是因为nginx是使用的急速安装的直接下载的rpm包所以小和时间不对，

作者: 虎谷 时间: 2022-12-9 03:02

大神发表于 2022-12-9 02:39
这个纯属瞎几把扯淡
Bak是升级nginx之前的备份文件，在一个nginx文件小和时间不对是因为nginx是使用的急速 ...

发这条消息的人，，，压根没给出病毒特征，就是口嗨、起哄而已。。。

作者: iloveloc 时间: 2022-12-9 04:31
提示: 作者被禁止或删除内容自动屏蔽

作者: wz023 时间: 2022-12-9 05:38
不装宝塔不就好了。用debian几个命令就能解决的，非要安装个宝塔，结果还是没有塔基的宝塔。

作者: 主菜单 时间: 2022-12-9 06:29
X86版本10-15MB大小，ARM版本30左右，BAK也是9MB

作者: 66y 时间: 2022-12-9 06:32
4.8M的，时间是2022年6月2日，这算啥，不过ssh是秘钥登陆

作者: Toools 时间: 2022-12-9 09:17

大神发表于 2022-12-9 02:39
这个纯属瞎几把扯淡
Bak是升级nginx之前的备份文件，在一个nginx文件小和时间不对是因为nginx是使用的急速 ...

本次被黑问题属实，并非几个人遇到，大面积

作者: hdwz88 时间: 2022-12-9 09:49

wxhscc 发表于 2022-12-9 02:12
感觉被侮辱了，每次漏洞我都有份，
并且每次人家都没刨我的站点，是有多看不起我啊

域名和服务器被人备份了。有奖当然先给你了

作者: mobanzhizuo 时间: 2022-12-9 09:58
我的也被入侵了，希望官网赶紧出方案，影响太大，昨天光重装加转移网站弄了四个多小时

作者: wang3y2 时间: 2022-12-9 10:07
mdserver-web 一切正常

作者: acg88 时间: 2022-12-9 10:11
nginx 4.55 不是近期，下载下来了，用什么打开?

作者: yilin101 时间: 2022-12-9 10:13
用的是 openlitespeed 应该没事把

作者: 920c 时间: 2022-12-9 10:16
反正已经没用宝塔了，这次就能看戏了。宝塔的安全意识太低了，做一堆功能出来，但是都没有把它维护好。作为一个面板最重要就是系统安全，这一点他们从头开始都没打算有什么改进，就是出事才补救，这样害了多少无知的使用者，也对不起付费的韭菜

作者: 悠悠 时间: 2022-12-9 10:30
nginx大小应该跟版本有关吧？

作者: langer 时间: 2022-12-9 11:38
顶一下,让更多mjj看到

欢迎光临全球主机交流论坛 (https://443502.xyz/)