全球主机交流论坛

标题: 宝塔面板严重未知安全漏洞 [打印本页]

作者: Ricky.D. 时间: 2022-12-8 19:38
标题: 宝塔面板严重未知安全漏洞
今天朋友的网站出现被挂马的情况，具体表现如下
js全部出现以下内容，但是实际文件不存在这段。
网站没有被入侵的迹象，多次审计和检查php都没有发现任何与之前不同的文件。
给文件加上随机数引用，缓存更新后挂马内容不见，疑似篡改了nginx缓存文件

环境:lnmp，没有安装其他插件
代码找不到了，用宝塔论坛帖子的

作者: 菜单 时间: 2022-12-8 19:38
这真的是天书

作者: 榆木 时间: 2022-12-8 19:39
看我帖子

作者: zc035 时间: 2022-12-8 19:39
老老的ARP欺骗又来了吗？

作者: Ricky.D. 时间: 2022-12-8 19:40

zc035 发表于 2022-12-8 19:39
老老的ARP欺骗又来了吗？

不是吧，我加了随机数文件就正常了

作者: Ricky.D. 时间: 2022-12-8 19:42

榆木发表于 2022-12-8 19:39
看我帖子

看到了，和你的描述一模一样，我换个nginx

作者: 战斗鸡 时间: 2022-12-8 19:45
被插在nginx里面了

作者: daizuan 时间: 2022-12-8 19:46
不是说宝塔才有的吗怎么是LNMP也有了

作者: Ricky.D. 时间: 2022-12-8 19:47

daizuan 发表于 2022-12-8 19:46
不是说宝塔才有的吗怎么是LNMP也有了

官方宝塔，lnmp是指的纯净的环境，无任何插件

作者: 榆木 时间: 2022-12-8 19:51

Ricky.D. 发表于 2022-12-8 19:40
不是吧，我加了随机数文件就正常了

别用curl访问用浏览器访问试试

作者: 一笑生花 时间: 2022-12-9 01:24
是不是在80host租的服务器？

作者: tomcb 时间: 2022-12-9 01:31
/tmp/systemd-private-56d86f7d8382402517f3b5-jP37av

作者: Ricky.D. 时间: 2022-12-9 01:38

一笑生花发表于 2022-12-9 01:24
是不是在80host租的服务器？

不是，国外的机器，国内的机器，都出现了，并且使用默认端口8888

欢迎光临全球主机交流论坛 (https://loc.mjj8.eu.org/)