本周宝塔面板被传出存在高危级别的安全漏洞,攻击者利用漏洞可以绕过宝塔多因素认证直接给网站挂马等。消息还称当前已经出现了大面积挂马问题,攻击者利用漏洞获得权限高于面板权限因此可以直接控制服务器。
不过针对传闻宝塔官方已经发布消息否认,宝塔称确实接到10名用户反馈 , 但排查未发现宝塔面板存在漏洞。
根据目前现有情况,攻击者似乎利用漏洞对网站进行挂马劫持,用户绑定的网站访问时会自动跳转非法网站。实现手段则是JavaScript,宝塔技术团队进行排查后发现网站加载异常js脚本内容包含0xd4d9 或 0x2551等。有个值得关注的现象是,这些反馈的用户面板日志和系统日志都被清空过,这个做法非常像是攻击者操作的。也就是将日志清空避免引起用户怀疑,这样来看的话至少攻击者已经可以完全登录宝塔面板因此可执行操作。对于网传的 nginxBak 木马问题宝塔也进行回应,nginxBak为nginx升级时产生的备份方便升级失败再回滚。这个并不是网传的木马,鉴于宝塔目前并未排查出问题,担心安全问题的用户可以先暂时停止宝塔面板服务。暂停宝塔面板服务不影响其他组件运行和网站正常访问:SSH连接服务器后,使用bt stop暂停bt start启动。明显现象:当用户访问自己绑定的网站时会发现自动跳转到非法网站,其他访客访问时也自动跳转非法网站。如果出现上面的异常跳转问题则可以根据下面说明的说明进行排查,这些是宝塔根据被挂马用户反馈收集的。1.使用浏览器无痕模式或隐身模式访问目标网站的.js文件,该文件内容包含 0xd4d9 或 0x2551 等关键词的;2.登录宝塔面板后检查宝塔面板的日志功能,若宝塔面板日志和系统日志都被非本人清空说明存在异常情况;3. /www/server/nginx/sbin/nginx 被替换的,或者存在 /www/server/nginx/conf/btwaf/config 文件的;4.检查/www/server/panel/data/nginx_md5.pl,该文件用来记录 Nginx 安装的md5值,不符说明被篡改。5.如发现自己网站出现明显挂马或跳转异常问题,可以联系宝塔技术团队免费获得支持 QQ:1021266737