漏洞预警:宝塔面板疑似出现高危漏洞

昨晚19时起大量宝塔用户的网站被挂马,疑似面板出现高危漏洞

640.png

官方目前并没有发补相关补丁等信息。

漏洞预警:漏洞尚未得到确认,请自行分辨真伪。

风险等级:极高

影响版本:7.9.6及以下且使用Nginx的用户

处置建议:停止使用BT面板且切换Apache

宝塔官方建议暂停面板 

排查方式: /www/server/nginx/sbin/

1. Nginx 11.80 MB

2. NginxBak 4.55 MB [木马]

3. Nginx 4.51MB [木马]

特征: 

1. 4.51MB

2. 时间近期

3. Nginx&NginxBAK 双文件

入侵者通过该漏洞拥有 root 权限,受限于面板高权限运行,修改宝塔各种账号密码+ SSH 账号密码均为无效。入侵者可以修改Nginx配置文件+数据库文件+网站根目录文件。

站点可能出现大量日志,同时CPU异常占用,

暂不清楚漏洞点,切勿随意点击清除日志按钮。

注: 大量新装用户反馈出现挂马,

目前BT官方源可能出现问题,建议暂停安装。

补充信息:

bb.tar.gz 为上马日志,上马记录操作日志。

恶意文件:

systemd-private-56d86f7d8382402517f3b5-jP37av

路径:/tmp/

 

0x02 漏洞情况

具体表现:header中accept字段包含gzip时,网页被篡改。

640 (1).png

插入的JS用来引入了一个新的JS 来跳转H站。

640 (2).png

根因:非网站程序漏洞,nginx程序被篡改。同时宝塔后台日志被清空。

640 (3).png

0x03 观察&猜测

可以观察以下帖子,猜测7月就开始了,应该是插到nginx的lua里面了,至于怎么插进去的就不知道了

可以肯定是BT+Nginx会触发,目前已经出现批量站点失陷!

【已解答】最近发现自己服务器nginx被劫持至灰产 - Linux面板 - 宝塔面板论坛 (bt.cn)

https://www.bt.cn/bbs/thread-96727-1-7.html

【疑难】nginx网站站点被劫持 - Linux面板 - 宝塔面板论坛 (bt.cn)

https://www.bt.cn/bbs/thread-104423-1-2.html

【待反馈】我服务器是不是被入侵了 - Linux面板 - 宝塔面板论坛 (bt.cn)

https://www.bt.cn/bbs/thread-105077-1-2.html

【已解答】网站被劫持 - Linux面板 - 宝塔面板论坛 (bt.cn)

https://www.bt.cn/bbs/thread-105023-1-1.html

 

0x04 解决办法

1.清点资产

2.使用某塔的UU们,请将nginx 暂时先换到apache

0x05 恶意文件

systemd-private-56d86f7d8382402517f3b5-jP37av  路径:/tmp/

 

原文:https://mp.weixin.qq.com/s/FYav3eGqLcN0488VIaDbkg

本文标题:漏洞预警:宝塔面板疑似出现高危漏洞
本文链接:https://www.lengxi.net/post/513.html
作者授权:除特别说明外,本文由 冷曦 原创编译并授权 冷曦博客 - 源码之家 刊载发布。
版权声明:本文不使用任何协议授权,您可以任何形式自由转载或使用。

暂无留言,赶快评论吧

欢迎留言