2022年12月8日,宝塔官方论坛有用户爆出宝塔面板疑似爆出高危漏洞,大量新装用户反馈出现挂马(挂载木马)。
漏洞简介
这次漏洞的涉及的权限还是挺高的,胆子多大的站长都建议先备份整站,以免造成不必要的损失。
这次宝塔aapanel面板疑似的高危漏洞涉及权限如下:
- 漏洞入侵者拥有 root 权限, 并受限于面板高权限下运行。
- 漏洞入侵者可以修改宝塔aapanel面板各种账号密码和SSH账号密码均为无效。
- 入侵者可以修改Nginx配置文件,数据库文件,网站根目录文件。
漏洞具体表现
不幸中招宝塔aapanel面板疑似的高危漏洞的站点目前可能会有一下表现:
bb.tar.gz为上马日志,挂在木马马记录操作日志。- 漏洞涉及路径:
/tmp/ - 恶意文件信息:
systemd-private-56d86f7d8382402517f3b5-jP37av - 站点可能出现大量日志
- CPU异常占用
- 访问自己的网站时跳转到其他非法网站
漏洞排查方法
本次漏洞涉及宝塔面板和aapanel面板,博主的朋友在aapanel面板同样也发现了该漏洞,暂时别有侥幸心理了。
- 前往站点该目录
/www/server/nginx/sbin/ - 查找三个文件 →
Nginx 11.80 MB,NginxBak 4.55 MB [木马],Nginx 4.51MB [木马] /www/server/nginx/sbin/nginx被替换的,或者存在/www/server/nginx/conf/btwaf/config文件
漏洞较为明显的三个特征:
- 文件大小
4.51MB - 文件修改时间为
近期时间 - 同时存在
Nginx&NginxBAK双文件。
漏洞处理建议
坊间建议
- 使用宝塔或aapanel面板的站长快去排查处理
- 官方建议暂停安装及使用面板 - 登录终端执行bt stop命令停止面板服务(开启服务命令是bt restart),停止面板服务不会影响您网站的正常运行。
宝塔官方建议
- 升级面板到最新版,已经是最新版的,在首页修复面板,并开启BasicAuth认证
- nginx升级到当前主版本号的最新子版本,如1.22.0升级到1.22.1,已经是最新版的,请卸载重装
- 因生产需要暂时无法升级面板或nginx的,开启BasicAuth认证,有条件的设置授权IP
- 【企业版防篡改-重构版】插件可以有效防止网站被篡改,建议开启并设置root用户禁止修改文件(需要使用时再放开),另外,将nginx关键执行目录(/www/server/nginx/sbin)锁住
- 【宝塔系统加固】插件中的【关键目录加固】功能,可以将nginx关键执行目(/www/server/nginx/sbin)锁住,此目录在正常使用中不会有任何修改的行为,除了重装以外其他修改行为均可视为被篡改,所以将它锁上。
后记 & 参考信息
之前听说"后门塔"还以为是开玩笑,结果真出事了。
事发突然,建议位站长先做好网站备份,有更好的解决方案会第一时间更新,也欢迎更懂技术的大佬在评论区提出漏洞处理建议。
新闻信息来源:https://t.me/DNSPODT/497;
宝塔官方回应:https://www.bt.cn/bbs/thread-105121-1-1.html