全球主机交流论坛

标题: 【宝塔】面板疑似有未知漏洞，请加固或者停用 [打印本页]

作者: 榆木 时间: 2022-12-7 21:31
标题: 【宝塔】面板疑似有未知漏洞，请加固或者停用
本帖最后由榆木于 2022-12-7 21:47 编辑

具体表现：header中accept字段包含gzip时，网页被篡改。

插入的JS用来引入了一个新的JS 来跳转H站。

根因：非网站程序漏洞，nginx程序被篡改。同时宝塔后台日志被清空。

作者: mgwx 时间: 2022-12-7 21:35
破解版？

作者: haobanz 时间: 2022-12-7 21:35
nginx 漏洞吧暂时先换到apache

作者: Tip 时间: 2022-12-7 21:37
提示: 作者被禁止或删除内容自动屏蔽

作者: 财神 时间: 2022-12-7 21:39
换个图床吧实在看不清图

作者: Toools 时间: 2022-12-7 21:46
我下午才说，很多人不信，，

提醒：最近宝塔似乎有重大漏洞，全新的都被干
https://hostloc.gdisk.cf/thread-1111466-1-1.html
(出处: 全球主机交流论坛)

作者: 皮皮虾 时间: 2022-12-7 21:49
情况属实，怎么加固呢

作者: zhujizixun 时间: 2022-12-7 21:49
那也是宝塔有漏洞，就硬怪nginx？有毒吧

作者: Toools 时间: 2022-12-7 21:50

mgwx 发表于 2022-12-7 21:35
破解版？

官方版

作者: jianke 时间: 2022-12-7 21:55
那就有点吓人了。。

楼主什么程序？

作者: oimo 时间: 2022-12-7 21:56
前不久就开始了吧，应该是插入到nginx的lua里面了，至于怎么插进去的就不知道了

作者: 7777 时间: 2022-12-7 21:56
坚持用BT 早晚被x

作者: 美国总统奥巴马 时间: 2022-12-7 21:57
那么要怎么加固呢

作者: 皮皮虾 时间: 2022-12-7 21:58
大佬，怎么加固呢

作者: 榆木 时间: 2022-12-7 21:59

美国总统奥巴马发表于 2022-12-7 21:57
那么要怎么加固呢

百度就有的东西我就懒得搬过来了。

作者: 美国总统奥巴马 时间: 2022-12-7 22:00

榆木发表于 2022-12-7 21:59
百度就有的东西我就懒得搬过来了。

好人做到底，送佛送到西

作者: Toools 时间: 2022-12-7 22:08

jianke 发表于 2022-12-7 21:55
那就有点吓人了。。

楼主什么程序？

跟程序无关

作者: scheme 时间: 2022-12-7 22:14
还好不用bt

作者: 中囯 时间: 2022-12-7 22:15
不明觉厉。

作者: 皮皮虾 时间: 2022-12-7 22:28
本帖最后由皮皮虾于 2022-12-7 22:30 编辑

宝塔论坛有人也在反映这情况

作者: mobanzhizuo 时间: 2022-12-7 22:50
我的一台服务器也被入侵了，网站源码都没动，但打开里面所有网站都会跳转到**，我一直怀疑是宝塔的漏洞

作者: 人生短短几个秋 时间: 2022-12-8 09:49
怎么不在宝塔论坛发呢？国内挺多人用的

作者: youhei 时间: 2022-12-8 10:06
这个我博客之前就有遇到过，整个目录都是这些奇怪的东西。

作者: 四十六 时间: 2022-12-8 10:09

Toools 发表于 2022-12-7 21:46
我下午才说，很多人不信，，

提醒：最近宝塔似乎有重大漏洞，全新的都被干

很多人不信你是因为你没拿出实际确凿的证据证明，你的措辞让大家只能怀疑，不能定罪。你的好意大家是明白的。

作者: dlts 时间: 2022-12-8 10:12
的确是这样。

作者: htazq 时间: 2022-12-8 10:15
后排吃瓜，军哥lnmp稳

作者: tomcb 时间: 2022-12-8 11:10
这个看来是石锤了

作者: 榆木 时间: 2022-12-8 11:13

zhujizixun 发表于 2022-12-7 21:49
那也是宝塔有漏洞，就硬怪nginx？有毒吧

你理解能力有问题，我的标题就是宝塔疑似有漏洞然后被人进来以后篡改了nginx 。你怎么理解到硬怪nginx的？

作者: ezreal 时间: 2022-12-8 11:17
宝塔哪个版/我看看

作者: MSN 时间: 2022-12-8 12:00
还好已经专用amh

作者: 拉斯 时间: 2022-12-8 14:56
我看了几台的都没这个问题，真是宝塔的漏洞应该触发难度大，不然该像上次phpmyadmin那样了。

作者: 乌拉擦 时间: 2022-12-8 15:25
恐慌，防不胜防啊

作者: 店长推荐 时间: 2022-12-8 15:29
不能介绍下这个漏洞怎么用吗

作者: ngeel 时间: 2022-12-8 15:32
关键是怎么入侵的，是nginx 漏洞？直接获取shell,还是，通过网站漏洞获取shell ，然后替换nginx ？？？

作者: squalll 时间: 2022-12-8 16:43

ngeel 发表于 2022-12-8 15:32
关键是怎么入侵的，是nginx 漏洞？直接获取shell,还是，通过网站漏洞获取shell ，然后替换nginx ？？？ ...

对的。所以我觉得不公布方法之前，这种说NGINX漏洞或宝塔漏洞的说法不太成立
如果程序没任何死角。你如何控制NGINX？

作者: haozi 时间: 2022-12-8 17:28
有人中招的话可以联系我提供ssh信息，我来排查下到底是什么原因。

作者: 榆木 时间: 2022-12-8 17:48

squalll 发表于 2022-12-8 16:43
对的。所以我觉得不公布方法之前，这种说NGINX漏洞或宝塔漏洞的说法不太成立
如果程序没任何死角。你如何 ...

我通过以下条件来得出结论。别的就不多说了。
1. SSH无异常登录日志，当然不排除是被删除了。但是在这之前的日志还是是存在的，从现有日志看到的是 SSH从没被其他人登陆过。
2. 入侵时间段，除去nginx程序、宝塔登录日志文件外没有任何其他文件变动。当然，也不排除被人修改后又修改了操作时间。
3. 宝塔非默认安装后的密码。

作者: 那都通 时间: 2022-12-8 17:55

榆木发表于 2022-12-8 17:48
我通过以下条件来得出结论。别的就不多说了。
1. SSH无异常登录日志，当然不排除是被删除了。但是在这之 ...

被入侵的网站NG版本是多少？

作者: Toools 时间: 2022-12-8 17:57
这问题持续关注中

作者: 榆木 时间: 2022-12-8 17:57

那都通发表于 2022-12-8 17:55
被入侵的网站NG版本是多少？

被入侵跟nginx没有关系啊看不懂就多读几遍

作者: Toools 时间: 2022-12-8 18:03

那都通发表于 2022-12-8 17:55
被入侵的网站NG版本是多少？

不管哪个版本，都能干掉

作者: yixin82 时间: 2022-12-8 18:05

拉斯发表于 2022-12-8 14:56
我看了几台的都没这个问题，真是宝塔的漏洞应该触发难度大，不然该像上次phpmyadmin那样了。 ...

如果是网站程序漏洞，宝塔默认网站是www用户，按现在的内核版本能够突破这个权限修改Nginx，还这么大批量不太可能

作者: 饕餮 时间: 2022-12-8 18:14
机子设置了防火墙，指定IP才能进来的，这样安全吗？

作者: 战斗鸡 时间: 2022-12-8 18:42
本帖最后由战斗鸡于 2022-12-8 18:49 编辑

首先，是不是用的正版宝塔

作者: 银监会 时间: 2022-12-8 19:17
我草，我之前还以为是php的问题，网站一直被入侵篡改

作者: jianke 时间: 2022-12-8 19:29

Toools 发表于 2022-12-7 22:08
跟程序无关

因为我看到帖子是使用的WP，猜测可能是WP程序漏洞然后被提权。如果是只有面板然后被黑，那肯定就是面板有漏洞了。

作者: iks 时间: 2022-12-8 19:50
我 nginx 编译加进很多模块，例如高级替换什么的，如果中招，被迫替换的 nginx 遇到未知的配置文件指令也起不来

作者: haozi 时间: 2022-12-8 19:52

iks 发表于 2022-12-8 19:50
我 nginx 编译加进很多模块，例如高级替换什么的，如果中招，被迫替换的 nginx 遇到未知的配置文件指令也起 ...

似乎只有极速安装的nginx会受影响，宝塔的人在查了，等消息中。

作者: maro666 时间: 2022-12-8 19:54
我早就被黑了，直接被人清空了网站

作者: iks 时间: 2022-12-8 19:56

haozi 发表于 2022-12-8 19:52
似乎只有极速安装的nginx会受影响，宝塔的人在查了，等消息中。

笑死，nginx 这么可玩性够味的东西自然要编译安装几个模块才顺手

作者: hins 时间: 2022-12-8 21:43
是不是官方版的宝塔，没安装什么开心版插件吧？

作者: c7r1st 时间: 2022-12-8 21:50
我上次宝塔也有这样的问题。也是这个域名

作者: lovees 时间: 2022-12-8 21:54
预计是thinkphp5.x框架造成的

作者: lovees 时间: 2022-12-8 22:13

haobanz 发表于 2022-12-7 21:35
nginx 漏洞吧暂时先换到apache

https://www.bt.cn/bbs/thread-105079-1-1.html
宝塔阿里云 Apache貌似被下病毒了多个market.js

Apache不是一样嘛

作者: 我是小蜜蜂 时间: 2022-12-8 22:14

haozi 发表于 2022-12-8 19:52
似乎只有极速安装的nginx会受影响，宝塔的人在查了，等消息中。

宝塔说跟他们没关系没有漏洞

作者: hdwz88 时间: 2022-12-8 22:43

那都通发表于 2022-12-8 17:55
被入侵的网站NG版本是多少？

什么版本的都有

作者: 虎谷 时间: 2022-12-9 03:15
如果你网站有漏洞，那么通过你网站的漏洞替换你的nginx完全不无可能。。。不能就说你网站就没漏洞

作者: 88232128 时间: 2022-12-9 09:47
版本号呢？啥环境啥程序鸭

作者: karllo 时间: 2022-12-9 10:07
12月8有个新版本要不要更新到底

欢迎光临全球主机交流论坛 (https://hostloc.gdisk.cf/)