登录 立即注册

首页 > 绿虎论坛 > 电脑 > 讨论/求助 (发帖)

标题: 我的宝塔又被入侵了 附检测命令

作者: @Ta

时间: 2022-12-12发布,2022-12-12修改

点击: 18816

8只宝塔机 中招了3只 都是编译安装 发帖的时间又遭了一只
等会空了总结写教程 劝大家先把面板关闭
20.34我在查杀手机其他服务器时 黑客就刚刚在我眼皮子底下把我面板入侵了 等会上图
下面是公布目前已知木马特征:
明显现象:访问自己的网站跳转到其他非法网站
如果出现了上面的现象,排查是否符合下面的特征
1、使用无痕模式访问目标网站的js文件,内容中包含:_0xd4d9  或  _0x2551  或  _0xb2ce  关键词的
2、面板日志、系统日志都被清空过的
3、/www/server/nginx/sbin/nginx 被替换的,或者存在 /www/server/nginx/conf/btwaf/config 文件的
4、*期安装的nginx存在 /www/server/panel/data/nginx_md5.pl 文件,可与现有文件进行比较确认是否被修改(nginx_md5.pl文件是我们用来记录上一次安装nginx时的md5值,如果您的网站异常了,可以打开这个文件跟现在的/www/server/nginx/sbin/nginx文件md5做对比)
经过我的查杀发现
面板会有登录记录 有登录提醒的会报警
修复宝塔后强烈建议关闭面板 
被入侵后一定要将/tmp目录那几个文件删了,然后重装nginx
进去宝塔首页修复宝塔面板,修改宝塔面板的账号密码和安全入口,然后base认证和ip限制登录、面板https、域名绑定等都可以开一下 开启后还是强烈建议关闭面板 此次漏洞危害很大
以下是检测被是否被入侵的命令 ssh.执行即可看到提示
curl -sSO -k https://download.bt.cn/tools/w_check.py && btpython w_check.py && rm -rf w_check.py
我是晨曦,我喂自己袋盐!
我是晨曦,我喂自己袋盐!
我是晨曦,我喂自己袋盐!

[隐藏样式|查看源码]


『回复列表(14|显示机器人聊天)』

1.

@晨曦,收到。面板已关。

(/@Ta/2022-12-12 20:21//)

2. @晨曦,怎么查看被入侵了
(/@Ta/2022-12-12 20:27//)

3. @老虎会游泳,老虎,帮忙解除审核
(/@Ta/2022-12-12 20:27//)

4.
(/@Ta/2022-12-12 20:46//)

5. @老虎会游泳,好
(/@Ta/2022-12-12 20:59//)

6. @李沐沐,检查命令发了
我是晨曦,我喂自己袋盐!
(/@Ta/2022-12-12 21:43//)

7. @晨曦,面板日志被清空是啥样的,看不到清空日期还是清空日期和你清空时间的对不上。
(/@Ta/2022-12-12 21:44//)

8. 我平时都是要访问宝塔面板会查询当前手机ip,然后在阿里云安全组授权此ip访问此端口。平时只开通80和443端口,应该不会被入侵。
(/@Ta/2022-12-12 21:48//)

9.
层主 @上善若水 于 2022-12-12 22:33 删除了该楼层。
(/@Ta/2022-12-12 21:50//
被锁定
)

10. @上善若水,看不到操作日志 会显示日志被清空
我是晨曦,我喂自己袋盐!
(/@Ta/2022-12-12 21:50//)

11. @晨曦,宝塔面板日志有没有可能被篡改呢,比如删除被入侵之后的日志但保留入侵之前的日志。还是只能全部清除不能篡改。
(/@Ta/2022-12-12 21:53//)

12. @上善若水,只能删除且无法找回 但是会显示
面板设置 面板操作日志已清空!
我是晨曦,我喂自己袋盐!
(/@Ta/2022-12-12 21:55//)

13. 这个看上去是因为宝塔导致被拿的服务器权限,所以被入侵最好重装系统,因为你也不确定有没有留其他木马。还没被入侵的只能暂时bt stop保平安了
(/@Ta/2022-12-12 23:17//)

14. @消失的彩虹海,确实很奇怪哪里进去的,但是和nginx相关,已知入侵者对ssh服务器无法提权已经集合开源做了个一键检测和关闭脚本
我是晨曦,我喂自己袋盐!
(/@Ta/2022-12-20 17:58//)

回复需要登录

11月25日 18:01 星期一

本站由hu60wap6华为CPU驱动

备案号: 京ICP备18041936号-1