全球主机交流论坛

标题: 宝塔最新漏洞修复排查方案 [打印本页]

作者: 浮云鸟 时间: 2022-12-9 08:22
标题: 宝塔最新漏洞修复排查方案
大家查一下/www/server/nginx/sbin下面是否有 nginx 4.51 MB 文件(其他大小不算)
具体特征：
1. 最近修改 nginx 4.51 MB 文件
2. 日志被清空
3. 存在 bb.tar.gz 这个操作日志且与最近修改 nginx 4.51 MB 文件时间几乎无差
4. 查看/tmp/ 下面是否存在 systemd-private-56d86f7d8382402517f3b5-jP37av （挂马文件）

文件：nginx 4.51 MB
文件：systemd-private-56d86f7d8382402517f3b5-jP37av

两个被挂马的人进行了对比文件一致
目前没有办法复现，只看到一人出现 bb.tar.gz 这个操作日志与最近修改 nginx 4.51 MB 文件时间几乎无差其他人日志都被清除过
临时解决方案：切换nginx版本看看 nginx文件是否变化删除 /tmp/systemd-private-56d86f7d8382402517f3b5-jP37av 修改面板用户名密码关闭面板 bt stop （安装插件：文件监控监控 /www/server/nginx/sbin 与 /tmp 目录）

，
此教程由开心大佬熬夜核实首发，开心版版权所有哟。
，
，

作者: baidns 时间: 2022-12-9 08:24
不用面板很省心

作者: silence 时间: 2022-12-9 08:26
lnmp.org好用安全

作者: Mintian 时间: 2022-12-9 08:51
mk

作者: sai 时间: 2022-12-9 09:16
正确修复方法是：卸载宝塔

作者: acaiplus 时间: 2022-12-9 09:37
搞了半天是BT的漏洞。难怪了

作者: 用户名 时间: 2022-12-9 09:40
前排吃瓜支持。。。

作者: 88232128 时间: 2022-12-9 09:44
太不专业了吧。版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？

作者: hdwz88 时间: 2022-12-9 09:47

88232128 发表于 2022-12-9 09:44
太不专业了吧。版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号呢？版本号 ...

不限版本通杀

作者: acaiplus 时间: 2022-12-9 09:49

hdwz88 发表于 2022-12-9 09:47
不限版本通杀

目前有15台小鸡安装了宝塔的各个面板，全部都中了，nginx 4.51MB+TMP里的systemed文件夹。。修改时间基本是宝塔安装完后2-3天就有了。

作者: acaiplus 时间: 2022-12-9 09:50

hdwz88 发表于 2022-12-9 09:47
不限版本通杀

腾讯云轻量服务器镜像内置的宝塔面板没有发现这个问题。

作者: hdwz88 时间: 2022-12-9 09:51

acaiplus 发表于 2022-12-9 09:49
目前有15台小鸡安装了宝塔的各个面板，全部都中了，nginx 4.51MB+TMP里的systemed文件夹。。修改时间基本 ...

你的是被人备份了。
你换服务器也无解了。只能不能宝塔了

作者: krazy176 时间: 2022-12-9 09:55
把面板关闭了能不能解决这个问题

作者: acaiplus 时间: 2022-12-9 09:57

hdwz88 发表于 2022-12-9 09:51
你的是被人备份了。
你换服务器也无解了。只能不能宝塔了

目前技术水平还无法脱离宝塔手搓lnmp，只能先凑合着用了。反正中招的也不是我一个人。后面应该会有解决方案的。

作者: 路易的路 时间: 2022-12-9 10:02
本帖最后由路易的路于 2022-12-9 10:04 编辑

中招的nginx是快速安装还是编译安装的？

作者: 主菜单 时间: 2022-12-9 10:07
开心版专有漏洞哦

作者: 知府 时间: 2022-12-9 10:10

acaiplus 发表于 2022-12-9 09:50
腾讯云轻量服务器镜像内置的宝塔面板没有发现这个问题。

同腾讯云轻量服务器镜像内置的宝塔面板没问题+1，而且我NGINX永远都是更新到最新的，从不用旧版本

作者: 知府 时间: 2022-12-9 10:11

主菜单发表于 2022-12-9 10:07
开心版专有漏洞哦

你张口就来，我扶梯用的开心版，刚刚搜索了下一点问题都没有。是不是还要跟我对质？

作者: shkong 时间: 2022-12-9 10:16

主菜单发表于 2022-12-9 10:07
开心版专有漏洞哦

加油继续编，下次把赚钱的方法PM给我说一下，我也来，我10多台开心版都没事。。。

作者: 宁静致远 时间: 2022-12-9 10:18
4.56MB是中没中？

作者: mfcer 时间: 2022-12-9 10:25
7.6开心 4.55文件大小修改时间2021-02-18

作者: aa8 时间: 2022-12-9 10:31
看我帖子之前说过被攻击扫描不懂行的没人回答

作者: zhongziso 时间: 2022-12-9 10:33

主菜单发表于 2022-12-9 10:07
开心版专有漏洞哦

我安装的是开心版，几台机器都没有出现。

作者: huelse98 时间: 2022-12-9 10:35
我选择cockpit

作者: poly 时间: 2022-12-9 11:01
https://www.bt.cn/bbs/thread-105121-1-1.html

作者: 江南好风景 时间: 2022-12-9 11:04
aapanel有受到影响吗？

作者: 知府 时间: 2022-12-9 15:35
本帖最后由知府于 2022-12-9 15:37 编辑

知府发表于 2022-12-9 10:11
你张口就来，我扶梯用的开心版，刚刚搜索了下一点问题都没有。是不是还要跟我对质？ ...

来。联系宝塔法务。我个人用开心。法务能拿我怎么着。真的是上纲上线。人才一个。我还用WINDOWS盗版。PS盗版，CDR盗版。你全部叫来法务整死我。整不死我，你是我SUN子。你口气太狂了，我是真看不惯。我还敢在宝塔官方论坛说我用开新班。我还敢去微软社区说我用盗版WIN10，IP不隐藏，随你查。看有没有人能拿我怎么样

作者: Hetzner 时间: 2022-12-9 20:02
同萌塔开心版本，未复现；另外，内网仅使用端口映射443的机器也未复现。

作者: zzr 时间: 2022-12-15 13:21

poly 发表于 2022-12-9 11:01
https://www.bt.cn/bbs/thread-105121-1-1.html

如果如文章所述，为啥官方演示站也关了。。。。。

作者: bigexiu 时间: 2022-12-15 13:46
牛皮

作者: deyu 时间: 2022-12-15 14:42
Make

欢迎光临全球主机交流论坛 (https://loc.mjj8.eu.org/)