有 nginxBak 就是中招吗

花样

不太懂，

看有人说有 nginxBak 就是被黑，

我的是 aapanel ，12月2号才搭建，

连域名都没绑定，

用来下载 PT 自己在线看的，、直接访问 IP ，用nginx把文件列出来在线看的，

搜了一下，有 nginxBak ，但是文件日期是12月2号，

这肯定不是被黑吧，

SuperMaster

这些说法都是猜测的。目前没有绝对的证据说明有Nginxbak就是被黑的表现。

duyu

我确定了下，我的nginxbak应该不是被黑了，查了下日志正好都是这个时间安装/升级了nginx，吓死了，还有个生产环境

monface

nginxbak 是升级后的备份，不是被黑的指标。

loonyjoy

难道不是在sbin下的nginxbak才是吗

yrj

monface 发表于 2022-12-9 10:40
nginxbak 是升级后的备份，不是被黑的指标。

那么盲猜漏洞应该和在线升级有关，应该是劫持了升级文件url，然后中的马

叼爆小朋友

yrj 发表于 2022-12-9 11:23
那么盲猜漏洞应该和在线升级有关，应该是劫持了升级文件url，然后中的马 ...

我也觉得是这个问题，我猜测黑客是对宝塔面板nginx升级的url做了DNS劫持，劫持到黑客指定服务器上面，让用户下载被种马了的nginx，或者是劫持了其它相关url，如果没有证书认证得话，劫持http很容易的。最终的目的就是启动nginx更新让用户通过被DNS劫持的url从黑客服务器上面下载被串改的nginx

yrj

叼爆小朋友 发表于 2022-12-9 11:28
我也觉得是这个问题，我猜测黑客是对宝塔面板nginx升级的url做了DNS劫持，劫持到黑客指定服务器上面，让 ...

有可能是可以越过鉴权的主动触发升级，因为如果是用户升级导致，可能大家会心里记得升级的事儿，但是目前看没人反馈之前升级了nginx，所以我猜测，可能是某个漏洞，可以越过鉴权，主动升级nginx。