8只宝塔机 中招了3只 都是编译安装 发帖的时间又遭了一只
等会空了总结写教程 劝大家先把面板关闭
20.34我在查杀手机其他服务器时 黑客就刚刚在我眼皮子底下把我面板入侵了 等会上图
下面是公布目前已知木马特征：
明显现象：访问自己的网站跳转到其他非法网站
如果出现了上面的现象，排查是否符合下面的特征
1、使用无痕模式访问目标网站的js文件，内容中包含：_0xd4d9  或  _0x2551  或  _0xb2ce  关键词的
2、面板日志、系统日志都被清空过的
3、/www/server/nginx/sbin/nginx 被替换的，或者存在 /www/server/nginx/conf/btwaf/config 文件的
4、*期安装的nginx存在 /www/server/panel/data/nginx_md5.pl 文件，可与现有文件进行比较确认是否被修改（nginx_md5.pl文件是我们用来记录上一次安装nginx时的md5值，如果您的网站异常了，可以打开这个文件跟现在的/www/server/nginx/sbin/nginx文件md5做对比）
经过我的查杀发现
面板会有登录记录 有登录提醒的会报警
修复宝塔后强烈建议关闭面板 
被入侵后一定要将/tmp目录那几个文件删了，然后重装nginx
进去宝塔首页修复宝塔面板，修改宝塔面板的账号密码和安全入口，然后base认证和ip限制登录、面板https、域名绑定等都可以开一下 开启后还是强烈建议关闭面板 此次漏洞危害很大
以下是检测被是否被入侵的命令 ssh.执行即可看到提示
curl -sSO -k https://download.bt.cn/tools/w_check.py && btpython w_check.py && rm -rf w_check.py
我是晨曦,我喂自己袋盐！
我是晨曦,我喂自己袋盐！
我是晨曦,我喂自己袋盐！

1.

2. @晨曦，怎么查看被入侵了

3. @老虎会游泳，老虎,帮忙解除审核

4.

5. @老虎会游泳，好

6. @李沐沐，检查命令发了
我是晨曦,我喂自己袋盐！

7. @晨曦，面板日志被清空是啥样的，看不到清空日期还是清空日期和你清空时间的对不上。

8. 我平时都是要访问宝塔面板会查询当前手机ip，然后在阿里云安全组授权此ip访问此端口。平时只开通80和443端口，应该不会被入侵。

9.

10. @上善若水，看不到操作日志 会显示日志被清空
我是晨曦,我喂自己袋盐！

11. @晨曦，宝塔面板日志有没有可能被篡改呢，比如删除被入侵之后的日志但保留入侵之前的日志。还是只能全部清除不能篡改。

12. @上善若水，只能删除且无法找回 但是会显示
面板设置 面板操作日志已清空!
我是晨曦,我喂自己袋盐！

13. 这个看上去是因为宝塔导致被拿的服务器权限，所以被入侵最好重装系统，因为你也不确定有没有留其他木马。还没被入侵的只能暂时bt stop保平安了

14. @消失的彩虹海，确实很奇怪哪里进去的,但是和nginx相关,已知入侵者对ssh服务器无法提权已经集合开源做了个一键检测和关闭脚本
我是晨曦,我喂自己袋盐！