最近有好多机器nginx被挂马,跳转黄网
有传闻是宝塔漏洞所致
转自互联网的一个目测方法:
大家查一下/www/server/nginx/sbin下面是否有 nginx 4.51 MB 文件(其他大小不算)
具体特征:
- 最近修改 nginx 4.51 MB 文件
- 日志被清空
- 存在 bb.tar.gz 这个操作日志 且 与最近修改 nginx 4.51 MB 文件 时间几乎无差
- 查看/tmp/ 下面 是否存在 systemd-private-56d86f7d8382402517f3b5-jP37av (挂马文件)
文件:nginx 4.51 MB
文件:systemd-private-56d86f7d8382402517f3b5-jP37av
两个被挂马的人进行了对比 文件一致
目前没有办法复现,只看到一人出现 bb.tar.gz 这个操作日志 与 最近修改 nginx 4.51 MB 文件 时间几乎无差 其他人日志都被清除过
临时解决方案:切换nginx版本 看看 nginx文件 是否变化 删除 /tmp/systemd-private-56d86f7d8382402517f3b5-jP37av 修改面板用户名密码 关闭面板 bt stop (安装插件:文件监控 监控 /www/server/nginx/sbin 与 /tmp 目录)
更新:宝塔官方出检查程序了,运行下列代码即可curl -sSO -k https://download.bt.cn/tools/w_check.py && btpython w_check.py && rm -rf w_check.py