发现宝塔面板出现高危漏洞,遭大面积入侵
简介
就说宝塔靠不住,果然了宝塔面板疑似出现全新高危漏洞,目前已出现大面积入侵,影响版本7.9.6及以下且使用
nginx用户,来看看下面具体的情况
说明
此次的风险等级极高
建议直接停止使用BT面板!!!(宝塔镜像源已被污染!!!Apache同样可能被挂马)
排查
查询/www / server/ nginx/ sbin 目录下文件
1. nginx 11.80 MB
2. nginxBak 4.55 MB[木马]
3. nginx 4.51M [木马]
特征
- 大小4.51(左右)
- 时间近期
- nginx&nginxBAK双文件
- 日志被清空
- 存在 bb.tar.gz 这个操作日志 且 与最近修改 nginx 4.51 MB 文件 时间几乎无差
- 查看/tmp/ 下面 是否存在 systemd-private-56d86f7d8382402517f3b5-jP37av (挂马文件)
入侵者通过该漏洞拥有root权限,受限于面板高权限运行,修改宝塔各种账号密码+SSH账号密码均为无效。
入侵者可以修改nginx配置文件+数据库文件+网站根目录文件
站点可能出现大量日志同时CPU异常占用,暂不清楚漏洞点,切勿随意点击清除日志按钮
临时解决方案:切换nginx版本 看看 nginx文件 是否变化 删除 /tmp/systemd-private-56d86f7d8382402517f3b5-jP37av 修改面板用户名密码 关闭面板 bt stop (安装插件:文件监控 监控 /www/server/nginx/sbin 与 /tmp 目录)
注: 大量新装用户反馈出现挂马,目前BT官方源可能出现问题,建议暂停安装
版权声明:
作者:ivpsr.com
链接:https://ivpsr.com/3225.html
文章版权归作者所有,未经允许请勿转载。
THE END