Loading... # 2022年12月9日宝塔严重未知安全性漏洞 官方最新回应 https://www.bt.cn/bbs/thread-105121-1-1.html 我的备用香港服务器已被挂马,强烈建议暂停使用宝塔。 论坛上的帖子 https://www.bt.cn/bbs/thread-105054-1-1.html https://www.bt.cn/bbs/thread-105085-1-1.html https://hostloc.com/thread-1111691-1-1.html 数据库莫名被删 https://www.bt.cn/bbs/thread-105067-1-1.html **以下内容来自群友消息:** 速报:宝塔面板疑似出现全新高危漏洞,目前已出现大面积入侵 影响版本: 7.9.6及以下 风险等级: 极高 处置建议: 停止使用BT面板[宝塔官方建议暂停面板] 并非Nginx问题,Apache同样中招 初步猜测问题应该是面板鉴权问题 是同一个JavaScript 入侵者通过该漏洞拥有root权限,受限于面板高权限运行,修改宝塔各种账号密码+SSH账号密码均为无效。 入侵者可以修改nginx配置文件+数据库文件+网站根目录文件 站点可能出现大量日志同时CPU异常占用,暂不清楚漏洞点,切勿随意点击清除日志按钮 **注: 大量新装用户反馈出现挂马,目前BT官方源可能出现问题,建议暂停安装** 具体特征: 1. nginx 4.51 MB[木马] nginxBak 4.55 MB[木马] 2. 时间近期 3. 是否日志被清空 4. 是否存在 bb.tar.gz 这个操作日志 且 与最近修改 nginx 4.51 MB 文件 时间几乎无差 5. 查看/tmp/ 下面 是否存在 systemd-private-56d86f7d8382402517f3b5-jP37av (挂马文件) 具体看下面图片 与 挂马样本 文件:nginx 4.51 MB (其他大小不算) 文件:systemd-private-56d86f7d8382402517f3b5-jP37av 目前没有办法复现,只看到一人出现 bb.tar.gz 这个操作日志 与 最近修改 nginx 4.51 MB 文件 时间几乎无差 其他人日志都被清除过 临时解决方案: 切换nginx版本 看看 nginx文件 是否变化 删除 /tmp/systemd-private-56d86f7d8382402517f3b5-jP37av 修改面板用户名密码 关闭面板 bt stop 安装插件:文件监控 监控3天 /www/server/nginx/sbin 与 /tmp 目录 看看 下面就是挂马的案例 两个被挂马的人进行了对比 文件一致        猜你想看 typecho打开没有静态资源文件 Linux搭建我的世界服务器教程 关于WordPress的内存溢出导致数据库无法处理 每日一学:PHP 中的array_replace函数详解 每日一学:PHP 中的array_intersect_key函数详解 vue组件数据共享 每日一学:PHP 中的array_diff_ukey函数详解 每日一学:PHP 中的array_key_first函数详解 Typecho更换字体插件FontLibs 关于设计API接口 最后修改:2022 年 12 月 09 日 © 允许规范转载 赞 3 如果觉得我的文章对你有用,请随意赞赏
