圈小蛙
宝塔面板的官方Demo疑被黑,Banner被篡改为脏话
12月9日,宝塔面板的官方Demo疑被黑,这似乎印证了近期宝塔面板存在重大漏洞的传言。
宝塔面板此前曾发布公告称“经过排查没有发现漏洞”。目前该Demo已经下线,访问提示403 Forbidden。
宝塔就最新0day漏洞发表公告:未发现安全漏洞
宝塔就0day漏洞发表公告《关于外传宝塔面板或Nginx异常的公告》,公告说:当前有个别用户反馈被挂马的情况,我司立即组织技术团队跟进排查,经过2天的紧急排查,暂未发现Nginx以及面板的安全漏洞,也没有大规模出现被挂马的情况;经分析,此木马主要行为是篡改Nginx主程序,以达到篡改网站响应内容。目前累计收到10个用户反馈网站被挂马,均为境外服务器,我们继续全力跟进和协助用户排查Nginx挂马情况,直到溯源出结果。
nginxBak文件是当在面板更新nginx时,面板会自动备份一份nginxBak文件,防止更新出现异常后无法进行恢复如之前的nginx版本为1.22.0,如果在面板点击更新,更新至1.22.1,就会备份一份1.22.0的主程序文件为nginxBak,同时文件大小不一致的话,是因为安装方式的不同,极速安装包的安装大小一般都为5M,编译方式安装的大小大约为10M以上,而更新走的是编译方式更新。以上nginxBak并非挂马文件。
宝塔面板疑似出现全新高危漏洞,目前已出现大面积入侵
12月8日起,大量使用宝塔面板的网站被挂马,疑似面板出现高危漏洞。大量新装用户反馈出现挂马,目前BT官方源可能出现问题,建议暂停安装。据称漏洞影响宝塔版本7.9.6及以下且使用nginx的用户。
入侵者通过该漏洞拥有root权限,受限于面板高权限运行,修改宝塔各种账号密码+SSH账号密码均为无效。入侵者可以修改nginx配置文件+数据库文件+网站根目录文件站点可能出现大量日志同时CPU异常占用,暂不清楚漏洞点,切勿随意点击清除日志按钮。
排查方式: /www/server/nginx/sbin目录下文件:
1. nginx 11.80 MB
2. nginxBak 4.55 MB[木马]
3. nginx 4.51MB [木马]
特征:
1. 大小 4.51
2. 创建修改时间都是最近日期
3. nginx&nginxBak 双文件