問題簡述

論壇上的帖子

https://www.bt.cn/bbs/thread-105054-1-1.html

https://www.bt.cn/bbs/thread-105085-1-1.html

https://hostloc.com/thread-1111691-1-1.html

資料庫莫名被刪

https://www.bt.cn/bbs/thread-105067-1-1.html

以下內容來自群友訊息：

速報:寶塔面板疑似出現全新高危漏洞，目前已出現大面積入侵

• 影響版本: 7.9.6及以下
  風險等級: 極高
  處置建議: 停止使用BT面板[寶塔官方建議暫停面板]

• 並非Nginx問題，Apache同樣中招
  初步猜測問題應該是面板鑑權

  問題

是同一個JavaScript

入侵者通過該漏洞擁有root許可權，受限於面板高許可權執行，修改寶塔各種賬號密碼+SSH賬號密碼均為無效。

入侵者可以修改nginx配置檔案+資料庫檔案+網站根目錄檔案

站點可能出現大量日誌同時CPU異常佔用，暫不清楚漏洞點，切勿隨意點選清除日誌按鈕

注: 大量新裝使用者反饋出現掛馬，目前BT官方源可能出現問題，建議暫停安裝

具體特徵：

1. nginx 4.51 MB[木馬]
   nginxBak 4.55 MB[木馬]
2. 時間近期
3. 是否日誌被清空
4. 是否存在 bb.tar.gz 這個操作日誌 且 與最近修改 nginx 4.51 MB 檔案 時間幾乎無差
5. 檢視/tmp/
   下面 是否存在 systemd-private-56d86f7d8382402517f3b5-jP37av （掛馬檔案）

具體看下面圖片 與 掛馬樣本
檔案：nginx 4.51 MB (其他大小不算)
檔案：systemd-private-56d86f7d8382402517f3b5-jP37av

目前沒有辦法復現，只看到一人出現 bb.tar.gz 這個操作日誌 與 最近修改 nginx 4.51 MB 檔案 時間幾乎無差 其他人日誌都被清除過

臨時解決方案：

• 切換nginx版本 看看 nginx檔案 是否變化
• 刪除 /tmp/systemd-private-56d86f7d8382402517f3b5-jP37av
• 修改面板使用者名稱密碼 關閉面板 bt stop
• 安裝外掛：檔案監控 監控3天 /www/server/nginx/sbin 與 /tmp 目錄 看看

下面就是掛馬的案例
兩個被掛馬的人進行了對比 檔案一致.

寶塔官方公告

地址：關於外傳寶塔面板或Nginx異常的公告

當前有個別用戶反饋被掛馬的情況，我司立即組織技術團隊跟進排查，經過2天的緊急排查，暫未發現Nginx以及面板的安全漏洞，也沒有大規模出現被掛馬的情況；經分析，此木馬主要行為是篡改Nginx主程式，以達到篡改網站響應內容。目前累計收到10個使用者反饋網站被掛馬，均為境外伺服器，我們繼續全力跟進和協助使用者排查Nginx掛馬情況，直到溯源出結果。

關於網傳Nginx檔案木馬的說明：
nginxBak檔案是當在面板更新nginx時，面板會自動備份一份nginxBak檔案，防止更新出現異常後無法進行恢復如之前的nginx版本為1.22.0，如果在面板點選更新，更新至1.22.1，就會備份一份1.22.0的主程式檔案為nginxBak（如下圖）

同時檔案大小不一致的話，是因為安裝方式的不同，極速安裝包的安裝大小一般都為5M，編譯方式安裝的大小大約為10M以上，而更新走的是編譯方式更新。
以上nginxBak並非掛馬檔案。

下面是目前已知木馬特徵：
明顯現象：訪問自己的網站跳轉到其他非法網站
如果出現了上面的現象，則是否符合下面的特徵
1、使用無痕模式訪問目標網站的js檔案，內容中包含：_0xd4d9 或 _0x2551 關鍵詞的
2、面板日誌、系統日誌都被清空過的
3、/www/server/nginx/sbin/nginx 被替換的，或者存在 /www/server/nginx/conf/btwaf/config 檔案的
4、*期安裝的nginx存在 /www/server/panel/data/nginx_md5.pl 檔案，可與現有檔案進行比較確認是否被修改（nginx_md5.pl檔案是我們用來記錄上一次安裝nginx時的md5值，如果您的網站異常了，可以開啟這個檔案跟現在的/www/server/nginx/sbin/nginx檔案md5做對比）

另外，未出現異常問題正常使用的使用者，我們給出加固建議，如果您擔心面板存在風險，可以登入終端執行bt stop命令停止面板服務(開啟服務命令是bt restart)，停止面板服務不會影響您網站的正常執行。

其次，寶塔面板中可以做出下面的措施進行網站、面板、伺服器加固
1、升級面板到最新版，已經是最新版的，在首頁修復面板，並開啟BasicAuth認證
2、nginx升級到當前主版本號的最新子版本，如1.22.0升級到1.22.1，已經是最新版的，請解除安裝重灌
3、因生產需要暫時無法升級面板或nginx的，開啟BasicAuth認證，有條件的設定授權IP
5、【企業版防篡改-重構版】外掛可以有效防止網站被篡改，建議開啟並設定root使用者禁止修改檔案（需要使用時再放開），另外，將nginx關鍵執行目錄（/www/server/nginx/sbin）鎖住
6、【寶塔系統加固】外掛中的【關鍵目錄加固】功能，可以將nginx關鍵執行目錄（/www/server/nginx/sbin）鎖住，此目錄在正常使用中不會有任何修改的行為，除了重灌以外其他修改行為均可視為被篡改，所以將它鎖上。

如果已經出現明顯掛馬、異常跳轉等問題，可以聯絡官方免費幫忙處理跟進。