問題簡(jiǎn)述

論壇上的帖子

https://www.bt.cn/bbs/thread-105054-1-1.html

https://www.bt.cn/bbs/thread-105085-1-1.html

https://hostloc.com/thread-1111691-1-1.html

數(shù)據(jù)庫(kù)莫名被刪

https://www.bt.cn/bbs/thread-105067-1-1.html

以下內(nèi)容來自群友消息：

速報(bào):寶塔面板疑似出現(xiàn)全新高危漏洞，目前已出現(xiàn)大面積入侵

• 影響版本: 7.9.6及以下
  風(fēng)險(xiǎn)等級(jí): 極高
  處置建議: 停止使用BT面板[寶塔官方建議暫停面板]

• 并非Nginx問題，Apache同樣中招
  初步猜測(cè)問題應(yīng)該是**面板鑒權(quán)**問題

是同一個(gè)JavaScript

入侵者通過該漏洞擁有root權(quán)限，受限于面板高權(quán)限運(yùn)行，修改寶塔各種賬號(hào)密碼+SSH賬號(hào)密碼均為無效。

入侵者可以修改nginx配置文件+數(shù)據(jù)庫(kù)文件+網(wǎng)站根目錄文件

站點(diǎn)可能出現(xiàn)大量日志同時(shí)CPU異常占用，暫不清楚漏洞點(diǎn)，切勿隨意點(diǎn)擊清除日志按鈕

注: 大量新裝用戶反饋出現(xiàn)掛馬，目前BT官方源可能出現(xiàn)問題，建議暫停安裝

具體特征：

1. nginx 4.51 MB[木馬]
   nginxBak 4.55 MB[木馬]
2. 時(shí)間近期
3. 是否日志被清空
4. 是否存在 bb.tar.gz 這個(gè)操作日志 且 與最近修改 nginx 4.51 MB 文件 時(shí)間幾乎無差
5. 查看/tmp/ 下面 是否存在 systemd-private-56d86f7d8382402517f3b5-jP37av （掛馬文件）

具體看下面圖片 與 掛馬樣本
文件：nginx 4.51 MB (其他大小不算)
文件：systemd-private-56d86f7d8382402517f3b5-jP37av

目前沒有辦法復(fù)現(xiàn)，只看到一人出現(xiàn) bb.tar.gz 這個(gè)操作日志 與 最近修改 nginx 4.51 MB 文件 時(shí)間幾乎無差 其他人日志都被清除過

臨時(shí)解決方案：

• 切換nginx版本 看看 nginx文件 是否變化
• 刪除 /tmp/systemd-private-56d86f7d8382402517f3b5-jP37av
• 修改面板用戶名密碼 關(guān)閉面板 bt stop
• 安裝插件：文件監(jiān)控 監(jiān)控3天 /www/server/nginx/sbin 與 /tmp 目錄 看看

下面就是掛馬的案例
兩個(gè)被掛馬的人進(jìn)行了對(duì)比 文件一致.

寶塔官方公告

地址：關(guān)于外傳寶塔面板或Nginx異常的公告

當(dāng)前有個(gè)別用戶反饋被掛馬的情況，我司立即組織技術(shù)團(tuán)隊(duì)跟進(jìn)排查，經(jīng)過2天的緊急排查，暫未發(fā)現(xiàn)Nginx以及面板的安全漏洞，也沒有大規(guī)模出現(xiàn)被掛馬的情況；經(jīng)分析，此木馬主要行為是篡改Nginx主程序，以達(dá)到篡改網(wǎng)站響應(yīng)內(nèi)容。目前累計(jì)收到10個(gè)用戶反饋網(wǎng)站被掛馬，均為境外服務(wù)器，我們繼續(xù)全力跟進(jìn)和協(xié)助用戶排查Nginx掛馬情況，直到溯源出結(jié)果。

關(guān)于網(wǎng)傳Nginx文件木馬的說明：
nginxBak文件是當(dāng)在面板更新nginx時(shí)，面板會(huì)自動(dòng)備份一份nginxBak文件，防止更新出現(xiàn)異常后無法進(jìn)行恢復(fù)如之前的nginx版本為1.22.0，如果在面板點(diǎn)擊更新，更新至1.22.1，就會(huì)備份一份1.22.0的主程序文件為nginxBak（如下圖）

同時(shí)文件大小不一致的話，是因?yàn)榘惭b方式的不同，極速安裝包的安裝大小一般都為5M，編譯方式安裝的大小大約為10M以上，而更新走的是編譯方式更新。
以上nginxBak并非掛馬文件。

下面是目前已知木馬特征：
明顯現(xiàn)象：訪問自己的網(wǎng)站跳轉(zhuǎn)到其他非法網(wǎng)站
如果出現(xiàn)了上面的現(xiàn)象，則是否符合下面的特征
1、使用無痕模式訪問目標(biāo)網(wǎng)站的js文件，內(nèi)容中包含：_0xd4d9 或 _0x2551 關(guān)鍵詞的
2、面板日志、系統(tǒng)日志都被清空過的
3、/www/server/nginx/sbin/nginx 被替換的，或者存在 /www/server/nginx/conf/btwaf/config 文件的
4、*期安裝的nginx存在 /www/server/panel/data/nginx_md5.pl 文件，可與現(xiàn)有文件進(jìn)行比較確認(rèn)是否被修改（nginx_md5.pl文件是我們用來記錄上一次安裝nginx時(shí)的md5值，如果您的網(wǎng)站異常了，可以打開這個(gè)文件跟現(xiàn)在的/www/server/nginx/sbin/nginx文件md5做對(duì)比）

另外，未出現(xiàn)異常問題正常使用的用戶，我們給出加固建議，如果您擔(dān)心面板存在風(fēng)險(xiǎn)，可以登錄終端執(zhí)行bt stop命令停止面板服務(wù)(開啟服務(wù)命令是bt restart)，停止面板服務(wù)不會(huì)影響您網(wǎng)站的正常運(yùn)行。

其次，寶塔面板中可以做出下面的措施進(jìn)行網(wǎng)站、面板、服務(wù)器加固
1、升級(jí)面板到最新版，已經(jīng)是最新版的，在首頁(yè)修復(fù)面板，并開啟BasicAuth認(rèn)證
2、nginx升級(jí)到當(dāng)前主版本號(hào)的最新子版本，如1.22.0升級(jí)到1.22.1，已經(jīng)是最新版的，請(qǐng)卸載重裝
3、因生產(chǎn)需要暫時(shí)無法升級(jí)面板或nginx的，開啟BasicAuth認(rèn)證，有條件的設(shè)置授權(quán)IP
5、【企業(yè)版防篡改-重構(gòu)版】插件可以有效防止網(wǎng)站被篡改，建議開啟并設(shè)置root用戶禁止修改文件（需要使用時(shí)再放開），另外，將nginx關(guān)鍵執(zhí)行目錄（/www/server/nginx/sbin）鎖住
6、【寶塔系統(tǒng)加固】插件中的【關(guān)鍵目錄加固】功能，可以將nginx關(guān)鍵執(zhí)行目錄（/www/server/nginx/sbin）鎖住，此目錄在正常使用中不會(huì)有任何修改的行為，除了重裝以外其他修改行為均可視為被篡改，所以將它鎖上。

如果已經(jīng)出現(xiàn)明顯掛馬、異常跳轉(zhuǎn)等問題，可以聯(lián)系官方免費(fèi)幫忙處理跟進(jìn)。文章來源地址http://www.zghlxwxcb.cn/news/detail-493894.html

到了這里，關(guān)于寶塔嚴(yán)重未知安全性漏洞（寶塔面板或Nginx異常）的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！