全球主机交流论坛

标题: 宝塔被挂马了，这怎么解决啊 [打印本页]

作者: kem 时间: 2022-12-10 23:20
标题: 宝塔被挂马了，这怎么解决啊
浏览帖子才知道这个宝塔出了这么大的问题

看了这个头就知道网站被挂了

用了宝塔给的查木马，好家伙

这要怎么解决啊

宝塔日志是上个月被清理掉了，这两天才爆出问题

作者: 乖.含住 时间: 2022-12-10 23:22
重装nginx试试

作者: coouk 时间: 2022-12-10 23:22
联系宝塔官方

作者: Ricky.D. 时间: 2022-12-10 23:22
建议不要动，先确认是否为官方版，如果是的话可以联系宝塔官方进行排查。我看到后门的第一时间直接卸载宝塔了

作者: kem 时间: 2022-12-10 23:24

Ricky.D. 发表于 2022-12-10 23:22
建议不要动，先确认是否为官方版，如果是的话可以联系宝塔官方进行排查。我看到后门的第一时间直接卸载宝塔 ...

没敢玩开心版，确实是官方版的，真的是后门塔，这漏洞啊

作者: 山本大意失仙人 时间: 2022-12-10 23:26
官方免费帮处理，自己去联系官方

作者: kem 时间: 2022-12-10 23:39

山本大意失仙人发表于 2022-12-10 23:26
官方免费帮处理，自己去联系官方

加了没回复，看看论坛里面的，榆木大佬说是重装nginx就行，真蛋疼这个宝塔，还付费过

作者: Ricky.D. 时间: 2022-12-10 23:41

kem 发表于 2022-12-10 23:24
没敢玩开心版，确实是官方版的，真的是后门塔，这漏洞啊

那可以找官方，我之前打算找官方的，但是那时候我已经发现运行日志都被删了，似乎再找他们也没有啥意义

作者: kem 时间: 2022-12-10 23:48

Ricky.D. 发表于 2022-12-10 23:41
那可以找官方，我之前打算找官方的，但是那时候我已经发现运行日志都被删了，似乎再找他们也没有啥意义 ...

加了没回复，一样啊，回想起来就是那个时间点，网站有点毛病，然后一看宝塔的运行日志也是那个时间被清空了

作者: 美女约吗 时间: 2022-12-10 23:49
后台的端口是不是8888没改的？

作者: louiejordan 时间: 2022-12-10 23:50
改端口+两步验证，应该能解决问题吧

作者: kem 时间: 2022-12-10 23:56

louiejordan 发表于 2022-12-10 23:50
改端口+两步验证，应该能解决问题吧

没用到默认端口，上手的第一步就把8888改了，可能还是偷懒了，没弄白名单限制IP

作者: louiejordan 时间: 2022-12-11 00:00

kem 发表于 2022-12-10 23:56
没用到默认端口，上手的第一步就把8888改了，可能还是偷懒了，没弄白名单限制IP ...

无论何时何地，两步验证都是能避免很多麻烦的方法，既然都用宝塔了，安全上肯定要上点心

作者: kem 时间: 2022-12-11 02:31

美女约吗发表于 2022-12-10 23:49
后台的端口是不是8888没改的？

上手的第一时间就把这个8888给改掉了，还是能被扫到不知道怎么做到的

作者: xiaoz 时间: 2022-12-11 02:53

kem 发表于 2022-12-11 02:31
上手的第一时间就把这个8888给改掉了，还是能被扫到不知道怎么做到的

端口也就65535个，逐个遍历扫描太容易了，增加一点点扫描成本而已。

作者: kem 时间: 2022-12-11 13:38

xiaoz 发表于 2022-12-11 02:53
端口也就65535个，逐个遍历扫描太容易了，增加一点点扫描成本而已。

一般宝塔不是要有正确的后缀吗，这直接加端口就进去了，这宝塔本身的漏洞了吧，真实后门塔

作者: 小号专用马甲 时间: 2022-12-11 14:03
提示: 作者被禁止或删除内容自动屏蔽

作者: weizai408 时间: 2022-12-11 14:31
【宝塔系统加固】插件中的【关键目录加固】功能，可以将nginx关键执行目录（/www/server/nginx/sbin）锁住，此目录在正常使用中不会有任何修改的行为，除了重装以外其他修改行为均可视为被篡改，所以将它锁上。

作者: airplayx 时间: 2022-12-11 14:42
结合楼上我愿称宝塔监守自盗

作者: 流星i 时间: 2022-12-11 14:47
查哪里的运行日志？

作者: kem 时间: 2022-12-11 14:56

流星i 发表于 2022-12-11 14:47
查哪里的运行日志？

特征之一：宝塔的面板日志被清空了

作者: 宋喆 时间: 2022-12-11 15:07

weizai408 发表于 2022-12-11 14:31
【宝塔系统加固】插件中的【关键目录加固】功能，可以将nginx关键执行目录（/www/server/nginx/sbin）锁住 ...

1.33/天？

作者: dole 时间: 2022-12-11 16:06
这个怎么查的

作者: krazy176 时间: 2022-12-11 16:22
平时宝塔面板一直是开启的？

作者: kem 时间: 2022-12-11 18:45

krazy176 发表于 2022-12-11 16:22
平时宝塔面板一直是开启的？

是的，看到论坛的信息进宝塔一看，就知道不能幸免了

作者: ihht12 时间: 2022-12-12 09:46
可能是我网站太辣鸡了,都没人挂马

作者: eate 时间: 2022-12-12 09:49
删库塔不是会每天自动上传用户面板操作日志到云端来着，有用户操作日志这么久还查不出来？

作者: kem 时间: 2022-12-12 16:09

eate 发表于 2022-12-12 09:49
删库塔不是会每天自动上传用户面板操作日志到云端来着，有用户操作日志这么久还查不出来？ ...

我国内的好几台都没事，老版宝塔和老版N，反而是国外的被挂马了

欢迎光临全球主机交流论坛 (https://hostloc.gdisk.cf/)