寶塔嚴重未知安全性漏洞(寶塔面板或Nginx異常)
問題簡述
論壇上的帖子
https://www.bt.cn/bbs/thread-105054-1-1.html
資料庫莫名被刪
以下內容來自群友訊息:
速報:寶塔面板疑似出現全新高危漏洞,目前已出現大面積入侵
影響版本: 7.9.6及以下
風險等級: 極高
處置建議: 停止使用BT面板[寶塔官方建議暫停面板]並非
Nginx
問題,Apache
同樣中招
初步猜測問題應該是面板鑑權
問題
是同一個JavaScript
入侵者通過該漏洞擁有root許可權,受限於面板高許可權執行,修改寶塔各種賬號密碼+SSH賬號密碼均為無效。
入侵者可以修改nginx
配置檔案+資料庫檔案+網站根目錄檔案
站點可能出現大量日誌同時CPU異常佔用,暫不清楚漏洞點,切勿隨意點選清除日誌按鈕
注: 大量新裝使用者反饋出現掛馬,目前BT官方源可能出現問題,建議暫停安裝
具體特徵:
-
nginx
4.51 MB[木馬]nginxBak
4.55 MB[木馬] - 時間近期
- 是否日誌被清空
- 是否存在
bb.tar.gz
這個操作日誌 且 與最近修改nginx
4.51 MB 檔案 時間幾乎無差 - 檢視
/tmp/
systemd-private-56d86f7d8382402517f3b5-jP37av
(掛馬檔案)
具體看下面圖片 與 掛馬樣本
檔案:nginx
4.51 MB (其他大小不算)
檔案:systemd-private-56d86f7d8382402517f3b5-jP37av
目前沒有辦法復現,只看到一人出現 bb.tar.gz
這個操作日誌 與 最近修改 nginx
4.51 MB 檔案 時間幾乎無差 其他人日誌都被清除過
臨時解決方案:
- 切換
nginx
版本 看看nginx
檔案 是否變化 - 刪除
/tmp/systemd-private-56d86f7d8382402517f3b5-jP37av
- 修改面板使用者名稱密碼 關閉面板
bt stop
- 安裝外掛:檔案監控 監控3天
/www/server/nginx/sbin
與/tmp
目錄 看看
下面就是掛馬的案例
兩個被掛馬的人進行了對比 檔案一致.
寶塔官方公告
當前有個別用戶反饋被掛馬的情況,我司立即組織技術團隊跟進排查,經過2天的緊急排查,暫未發現Nginx
以及面板的安全漏洞,也沒有大規模出現被掛馬的情況;經分析,此木馬主要行為是篡改Nginx
主程式,以達到篡改網站響應內容。目前累計收到10個使用者反饋網站被掛馬,均為境外伺服器,我們繼續全力跟進和協助使用者排查Nginx
掛馬情況,直到溯源出結果。
關於網傳Nginx
檔案木馬的說明:nginxBak
檔案是當在面板更新nginx
時,面板會自動備份一份nginxBak
檔案,防止更新出現異常後無法進行恢復如之前的nginx
版本為1.22.0,如果在面板點選更新,更新至1.22.1,就會備份一份1.22.0的主程式檔案為nginxBak
(如下圖)
同時檔案大小不一致的話,是因為安裝方式的不同,極速安裝包的安裝大小一般都為5M,編譯方式安裝的大小大約為10M
以上,而更新走的是編譯方式更新。
以上nginxBak
並非掛馬檔案。
下面是目前已知木馬特徵:
明顯現象:訪問自己的網站跳轉到其他非法網站
如果出現了上面的現象,則是否符合下面的特徵
1、使用無痕模式訪問目標網站的js
檔案,內容中包含:_0xd4d9
或 _0x2551
關鍵詞的
2、面板日誌、系統日誌都被清空過的
3、/www/server/nginx/sbin/nginx
被替換的,或者存在 /www/server/nginx/conf/btwaf/config
檔案的
4、*期安裝的nginx
存在 /www/server/panel/data/nginx_md5.pl
檔案,可與現有檔案進行比較確認是否被修改(nginx_md5.pl
檔案是我們用來記錄上一次安裝nginx
時的md5
值,如果您的網站異常了,可以開啟這個檔案跟現在的/www/server/nginx/sbin/nginx
檔案md5
做對比)
另外,未出現異常問題正常使用的使用者,我們給出加固建議,如果您擔心面板存在風險,可以登入終端執行bt stop
命令停止面板服務(開啟服務命令是bt restart
),停止面板服務不會影響您網站的正常執行。
其次,寶塔面板中可以做出下面的措施進行網站、面板、伺服器加固
1、升級面板到最新版,已經是最新版的,在首頁修復面板,並開啟BasicAuth
認證
2、nginx
升級到當前主版本號的最新子版本,如1.22.0
升級到1.22.1
,已經是最新版的,請解除安裝重灌
3、因生產需要暫時無法升級面板或nginx
的,開啟BasicAuth
認證,有條件的設定授權IP
5、【企業版防篡改-重構版】外掛可以有效防止網站被篡改,建議開啟並設定root使用者禁止修改檔案(需要使用時再放開),另外,將nginx
關鍵執行目錄(/www/server/nginx/sbin
)鎖住
6、【寶塔系統加固】外掛中的【關鍵目錄加固】功能,可以將nginx
關鍵執行目錄(/www/server/nginx/sbin
)鎖住,此目錄在正常使用中不會有任何修改的行為,除了重灌以外其他修改行為均可視為被篡改,所以將它鎖上。
如果已經出現明顯掛馬、異常跳轉等問題,可以聯絡官方免費幫忙處理跟進。