主机频道
风险等级:极高
处置建议:停止使用BT面板,更换阿帕奇。
入侵者通过该漏洞拥有root权限,并且受到面板高权限操作的限制。修改宝塔+SSH账号密码的各种账号密码无效。
入侵者可以修改nginx配置文件+数据库文件+网站根目录文件。
站点中可能有大量日志,CPU被异常占用。不要随意点击清除日志按钮,因为漏洞暂时不清楚。
注意:大量新装用户反映挂机。目前官方BT源码可能有问题,建议暂停安装。
宝塔官方回应的验证和处理方法
以下是目前已知特洛伊木马的特征:
现象明显:访问自己的网站,跳转到其他非法网站。
如果出现上述现象,是否符合以下特征?
1.无缝访问目标网站的js文件,内容包含:_0xd4d9或_0x2551关键字。
2.面板日志和系统日志已被清空。
3./www/server/nginx/sbin/nginx已被替换,或者文件/www/server/nginx/conf/Bt waf/config已存在。
4.*阶段安装的nginx存在于文件/www/server/panel/data/nginx_md5.pl中,可以与现有文件进行对比,确认是否被修改过(nginx _ md5 . pl文件是我们用来记录上次安装Nginx时的MD5值的。如果你的网站出现异常,可以打开这个文件,与当前文件进行比较/www/server/Nginx/
另外,对于正常使用面板没有异常问题的用户,我们给出加固建议。如果担心面板的风险,可以登录终端,执行bt stop命令停止面板服务(服务启动命令为bt restart)。停止面板服务不会影响您网站的正常运行。
评论前必须登录!
注册