全球主机交流论坛

标题: 有 nginxBak 就是中招吗 [打印本页]

作者: 花样 时间: 2022-12-9 03:47
标题: 有 nginxBak 就是中招吗
不太懂，

看有人说有 nginxBak 就是被黑，

我的是 aapanel ，12月2号才搭建，

连域名都没绑定，

用来下载 PT 自己在线看的，、直接访问 IP ，用nginx把文件列出来在线看的，

搜了一下，有 nginxBak ，但是文件日期是12月2号，

这肯定不是被黑吧，

作者: SuperMaster 时间: 2022-12-9 03:48
这些说法都是猜测的。目前没有绝对的证据说明有Nginxbak就是被黑的表现。

作者: duyu 时间: 2022-12-9 03:51
我确定了下，我的nginxbak应该不是被黑了，查了下日志正好都是这个时间安装/升级了nginx，吓死了，还有个生产环境

作者: 小号专用马甲 时间: 2022-12-9 03:58
提示: 作者被禁止或删除内容自动屏蔽

作者: monface 时间: 2022-12-9 10:40
nginxbak 是升级后的备份，不是被黑的指标。

作者: loonyjoy 时间: 2022-12-9 10:52
难道不是在sbin下的nginxbak才是吗

作者: yrj 时间: 2022-12-9 11:23

monface 发表于 2022-12-9 10:40
nginxbak 是升级后的备份，不是被黑的指标。

那么盲猜漏洞应该和在线升级有关，应该是劫持了升级文件url，然后中的马

作者: 叼爆小朋友 时间: 2022-12-9 11:28
本帖最后由叼爆小朋友于 2022-12-9 11:36 编辑

yrj 发表于 2022-12-9 11:23
那么盲猜漏洞应该和在线升级有关，应该是劫持了升级文件url，然后中的马 ...

我也觉得是这个问题，我猜测黑客是对宝塔面板nginx升级的url做了DNS劫持，劫持到黑客指定服务器上面，让用户下载被种马了的nginx，或者是劫持了其它相关url，如果没有证书认证得话，劫持http很容易的。最终的目的就是启动nginx更新让用户通过被DNS劫持的url从黑客服务器上面下载被串改的nginx

作者: yrj 时间: 2022-12-9 11:37

叼爆小朋友发表于 2022-12-9 11:28
我也觉得是这个问题，我猜测黑客是对宝塔面板nginx升级的url做了DNS劫持，劫持到黑客指定服务器上面，让 ...

有可能是可以越过鉴权的主动触发升级，因为如果是用户升级导致，可能大家会心里记得升级的事儿，但是目前看没人反馈之前升级了nginx，所以我猜测，可能是某个漏洞，可以越过鉴权，主动升级nginx。

欢迎光临全球主机交流论坛 (https://443502.xyz/)