设为首页收藏本站
切换到宽版

全球主机交流论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

全球主机交流论坛»论坛 主机综合交流 美国VPS综合讨论 bt面板漏洞还在查 之前所发的是谣言 bt官网发布进来看 ...
IP归属甄别会员请立即修改密码
123下一页
返回列表 发新帖
查看: 4233|回复: 28
打印 上一主题 下一主题

[美国VPS] bt面板漏洞还在查 之前所发的是谣言 bt官网发布进来看

[复制链接]
langer
跳转到指定楼层
1#
发表于 2022-12-9 01:59:08 来自手机 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
本帖最后由 langer 于 2022-12-9 11:37 编辑

<此消息为谣言,但是具体确实有漏洞>
速报:宝塔面板疑似出现全新高危漏洞,目前已出现大面积入侵

影响版本:7.9.6及以下且使用nginx用户

风险等级:极高

处置建议: 停止使用BT面板且更换阿帕奇 [宝塔官方建议暂停面板]

排查方式: /www / server/ nginx/ sbin 目录下文件

1. nginx 11.80 MB
2. nginxBak 4.55 MB[木马]
3. nginx 4.51M [木马]

特征:
1.大小4.51
2.时间近期
3.nginx&nginxBAK双文件

入侵者通过该漏洞拥有root权限,受限于面板高权限运行,修改宝塔各种账号密码+SSH账号密码均为无效。

入侵者可以修改nginx配置文件+数据库文件+网站根目录文件

站点可能出现大量日志同时CPU异常占用,暂不清楚漏洞点,切勿随意点击清除日志按钮

注: 大量新装用户反馈出现挂马,目前BT官方源可能出现问题,建议暂停安装


来源:tg 频道 https://t.me/DNSPODT



<此消息为谣言,但是具体确实有漏洞>
bt帖子传送门https://www.bt.cn/bbs/thread-105121-1-1.html
下面是目前已知木马特征:
明显现象:访问自己的网站跳转到其他非法网站
如果出现了上面的现象,则是否符合下面的特征
1、使用无痕模式访问目标网站的js文件,内容中包含:_0xd4d9  或  _0x2551 关键词的
2、面板日志、系统日志都被清空过的
3、/www/server/nginx/sbin/nginx 被替换的,或者存在 /www/server/nginx/conf/btwaf/config 文件的
4、*期安装的nginx存在 /www/server/panel/data/nginx_md5.pl 文件,可与现有文件进行比较确认是否被修改(nginx_md5.pl文件是我们用来记录上一次安装nginx时的md5值,如果您的网站异常了,可以打开这个文件跟现在的/www/server/nginx/sbin/nginx文件md5做对比)


另外,未出现异常问题正常使用的用户,我们给出加固建议,如果您担心面板存在风险,可以登录终端执行bt stop命令停止面板服务(开启服务命令是bt restart),停止面板服务不会影响您网站的正常运行。

其次,宝塔面板中可以做出下面的措施进行网站、面板、服务器加固
1、升级面板到最新版,已经是最新版的,在首页修复面板,并开启BasicAuth认证
2、nginx升级到当前主版本号的最新子版本,如1.22.0升级到1.22.1,已经是最新版的,请卸载重装
3、因生产需要暂时无法升级面板或nginx的,开启BasicAuth认证,有条件的设置授权IP
5、【企业版防篡改-重构版】插件可以有效防止网站被篡改,建议开启并设置root用户禁止修改文件(需要使用时再放开),另外,将nginx关键执行目录(/www/server/nginx/sbin)锁住
6、【宝塔系统加固】插件中的【关键目录加固】功能,可以将nginx关键执行目录(/www/server/nginx/sbin)锁住,此目录在正常使用中不会有任何修改的行为,除了重装以外其他修改行为均可视为被篡改,所以将它锁上。


如果已经出现明显挂马、异常跳转等问题,可以联系我免费帮忙处理跟进。
请广大网友注意,为了节省资源加速对该问题的处理,已经出问题的用户请联系我,可以加我的企业微信或者qq直接联系,没有出现问题的用户可以帖子留言,感谢使用宝塔面板。

官方电话:0769-23030556
QQ号:1021266737
回复

举报

大神
推荐
发表于 2022-12-9 02:39:51 | 只看该作者
这个纯属瞎几把扯淡
Bak是升级nginx之前的备份文件,在一个nginx文件小和时间不对是因为nginx是使用的急速安装的直接下载的rpm包所以小和时间不对,
回复 支持 7 反对 0

举报

wxhscc
推荐
发表于 2022-12-9 02:12:03 | 只看该作者
感觉被侮辱了,每次漏洞我都有份,
并且每次人家都没刨我的站点,是有多看不起我啊

回复 支持 4 反对 0

举报

haozi
推荐
发表于 2022-12-9 02:15:18 来自手机 | 只看该作者
1.如果是面板问题,那么换apache也没用,建议直接换面板。
2.如果是nginx问题,nginx以www用户运行,怎么做到提权修改所有者为root用户的文件?

综上,别担心了。

回复 支持 1 反对 1

举报

zhujizixun
推荐
发表于 2022-12-9 02:09:25 来自手机 | 只看该作者
处置建议简直搞笑,这孩子多读几天书吧,没事别出来教人。
回复 支持 2 反对 0

举报

yilin101
推荐
发表于 2022-12-9 10:13:00 | 只看该作者
用的是 openlitespeed  应该没事把
回复 支持 1 反对 0

举报

主菜单
推荐
发表于 2022-12-9 06:29:51 | 只看该作者
X86版本10-15MB大小,ARM版本30左右,BAK也是9MB
回复 支持 1 反对 0

举报

虎谷
推荐
发表于 2022-12-9 03:02:47 | 只看该作者
大神 发表于 2022-12-9 02:39
这个纯属瞎几把扯淡
Bak是升级nginx之前的备份文件,在一个nginx文件小和时间不对是因为nginx是使用的急速 ...


发这条消息的人,,,压根没给出病毒特征,就是口嗨、起哄而已。。。
回复 支持 1 反对 0

举报

wxhscc
推荐
发表于 2022-12-9 02:17:04 | 只看该作者
haozi 发表于 2022-12-9 02:15
1.如果是面板问题,那么换apache也没用,建议直接换面板。
2.如果是nginx问题,nginx以www用户运行,怎么做 ...

用宝塔的定时任务来执行一条 root 改密码指令,你看行?
回复 支持 0 反对 1

举报

SuperMaster
推荐
发表于 2022-12-9 02:05:09 | 只看该作者


看样子暂时还没事啊。
回复 支持 1 反对 0

举报

zhujizixun
推荐
发表于 2022-12-9 02:04:33 来自手机 | 只看该作者
不要编了 官方没有发过这样的公告
回复 支持 1 反对 0

举报

4#
发表于 2022-12-9 02:05:19 | 只看该作者
把装BT的四台机器查了下都没有,只有个nginx。。。是不是默认端口容易中招啊
回复 支持 反对

举报

5#
发表于 2022-12-9 02:06:54 来自手机 | 只看该作者
我的怎么都是4.8m
回复 支持 反对

举报

lastfree
7#
发表于 2022-12-9 02:10:50 | 只看该作者
如何修复这个问题???
回复 支持 反对

举报

8#
发表于 2022-12-9 02:11:08 | 只看该作者
没啥问题啊
回复 支持 反对

举报

ban
10#
发表于 2022-12-9 02:12:50 | 只看该作者
1. nginx 13.95 MB
只有这一个
回复 支持 反对

举报

下一页 »
123下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|全球主机交流论坛

GMT+8, 2025-9-26 03:53 , Processed in 0.066166 second(s), 11 queries , Gzip On, MemCache On.

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表