8只宝塔机 中招了3只 都是编译安装 发帖的时间又遭了一只
等会空了总结写教程 劝大家先把面板关闭
20.34我在查杀手机其他服务器时 黑客就刚刚在我眼皮子底下把我面板入侵了 等会上图
下面是公布目前已知木马特征:
明显现象:访问自己的网站跳转到其他非法网站
如果出现了上面的现象,排查是否符合下面的特征
1、使用无痕模式访问目标网站的js文件,内容中包含:_0xd4d9 或 _0x2551 或 _0xb2ce 关键词的
2、面板日志、系统日志都被清空过的
3、/www/server/nginx/sbin/nginx 被替换的,或者存在 /www/server/nginx/conf/btwaf/config 文件的
4、*期安装的nginx存在 /www/server/panel/data/nginx_md5.pl 文件,可与现有文件进行比较确认是否被修改(nginx_md5.pl文件是我们用来记录上一次安装nginx时的md5值,如果您的网站异常了,可以打开这个文件跟现在的/www/server/nginx/sbin/nginx文件md5做对比)
经过我的查杀发现
面板会有登录记录 有登录提醒的会报警
修复宝塔后强烈建议关闭面板
被入侵后一定要将/tmp目录那几个文件删了,然后重装nginx
进去宝塔首页修复宝塔面板,修改宝塔面板的账号密码和安全入口,然后base认证和ip限制登录、面板https、域名绑定等都可以开一下 开启后还是强烈建议关闭面板 此次漏洞危害很大
以下是检测被是否被入侵的命令 ssh.执行即可看到提示
curl -sSO -k
https://download.bt.cn/tools/w_check.py && btpython w_check.py && rm -rf w_check.py
我是晨曦,我喂自己袋盐!我是晨曦,我喂自己袋盐!我是晨曦,我喂自己袋盐!
@晨曦,收到。面板已关。