2022.12.08宝塔面板被爆疑似0day漏洞,如果你发现你网站出现js劫持,手机打开首页转跳麦片哥的站,检查发现实际文件不存在劫持js代码,但是访问就有问题,恭喜你中招了,快快看下面的教程来按步骤解决。
上个月碰到过几个网站首页用手机打开转跳麦片哥网站的站点,还以为是运营商劫持,今天被爆出来才发现是宝塔面板的问题。
如果你发现你网站出现js劫持,手机打开首页转跳麦片哥的站,检查发现实际文件不存在劫持js代码,但是访问就有问题,恭喜你中招了,快快看下面的教程来按步骤解决。
2022.12.08宝塔面板被爆疑似0day漏洞,各位可以检查下/www/server/nginx/sbin目录里的日志文件最近是否被修改。
Nginx文件被修改:
未被修改的正常日志:
详细检查下/www / server / nginx / sbin 下面是否存在nginx 4.51 MB 文件,且在最近修改或者日志被清空或者被挂马的,都可以看下(可能部分人 会存在 bb.tar.gz 这个操作日志 就是被种马了)
上面就是挂马的案例 两个被挂马的人进行了对比 文件一致
挂马文件名字:systemd-private-56d86f7d8382402517f3b5-jP37av
存在于根目录:/tmp/ 下面
临时的解决方案:清除挂马文件后,重装Nginx(也可以利用更新或者切换版本覆盖原来的),登录终端执行bt stop命令停止面板服务,停止面板服务不会影响网站的正常运行。
更多的,等宝塔修复吧。
站长交流群:179589399
柠檬云