全球主机交流论坛

标题: 被黑客眼皮子底下入侵宝塔面板 有图有真相 公布黑客跳板机ip地址 [打印本页]
作者: hanweizhe    时间: 2022-12-12 22:40
标题: 被黑客眼皮子底下入侵宝塔面板 有图有真相 公布黑客跳板机ip地址
本帖最后由 hanweizhe 于 2022-12-12 22:48 编辑

感觉对方跳板机应该是台win鸡 我看了很多帖子以及我自己被入侵的的也都是这个ip
检查宝塔是否被黑命令
curl -sSO -k https://download.bt.cn/tools/w_check.py && btpython w_check.py && rm -rf w_check.py

此次漏洞宝塔开二验没任何作用 要么屏蔽国外ip开始面板ssl或者指定ip登陆 个人建议先停用面板
黑客跳板机ip 45.77.54.150:60634
以及 45.77.0.0/24 段 大家可以ban了(没被黑的或者被黑的 都把他ban了 虽然知道对方不止一个IP 但是防备一下)
目前我的宝塔有3台被入侵 黑客会把面板操作日志清空!
有能力的大佬可以把这个ip DD下
奇怪的是我的网站没发现js以及h站跳转 不知你们的是怎么跳转 手里还是pc端 我的2只鸡都被后入了 就这两天 有一只是发帖前刚刚被入侵 已经联系了宝塔官方 技术员也不知怎么后入的

有图有真相
我擦 论坛为何使用图片ubb会拦截


作者: 蒂姆·库克    时间: 2022-12-12 22:41
我所有aapanel都删鸡了,重装系统了,打算装个命令行面板的nginx
作者: HOH    时间: 2022-12-12 22:43
/var/tmp/systemd-private-56d86f7d8382402517f3b51625789161d2cb-chronyd.service-jP37av
/var/tmp/systemd-private-56d86f7d8382402517f3b5-jP37av
/tmp/systemd-private-56d86f7d8382402517f3b5-jP37av
/var/tmp/count
/var/tmp/count.txt
/var/tmp/backkk
/var/tmp/msglog.txt
作者: lz2xg    时间: 2022-12-12 22:44
自己改文件PJ的7.7检查没有被黑,不知道是不是启用面板SSL的原因
作者: hanweizhe    时间: 2022-12-12 22:45
HOH 发表于 2022-12-12 22:43
/var/tmp/systemd-private-56d86f7d8382402517f3b51625789161d2cb-chronyd.service-jP37av
/var/tmp/system ...

你也凉了
作者: hanweizhe    时间: 2022-12-12 22:46
lz2xg 发表于 2022-12-12 22:44
自己改文件PJ的7.7检查没有被黑,不知道是不是启用面板SSL的原因

不是没扫到你就是ssl限制了他的登录
作者: net909    时间: 2022-12-12 23:22
这种被入侵的只能重装系统,因为不确定还有没有留其他木马。没被入侵的只能暂时bt stop保平安了
作者: 1073    时间: 2022-12-12 23:30
大佬,宝塔5.9系列的会被黑吗
作者: acpp    时间: 2022-12-12 23:36
Nginx 日志也没了?
作者: 没有的    时间: 2022-12-12 23:37
我也被黑了,几百个比特币不见了
作者: imslc    时间: 2022-12-12 23:51
宝塔这么差劲么,两天了还没找到漏洞?
作者: louiejordan    时间: 2022-12-12 23:52
imslc 发表于 2022-12-12 23:51
宝塔这么差劲么,两天了还没找到漏洞?

非常差劲,除了操作简答直观一无是处
作者: Agoni    时间: 2022-12-13 00:05
一直不用宝塔 都是命令行嗦
作者: hacn    时间: 2022-12-13 00:07
早点投靠lnmp吧
作者: 怪人    时间: 2022-12-13 01:35
蒂姆·库克 发表于 2022-12-12 22:41
我所有aapanel都删鸡了,重装系统了,打算装个命令行面板的nginx

啊,用aapanel1.0有事吗
作者: kimigao    时间: 2022-12-13 01:43
还好五台机器都没事。。
作者: wange008    时间: 2022-12-13 04:39
介于目前状况开心版居然没被后入,猜想是不是有宝塔被爆破的可能。被后入的统计一下ssh端口改了没
作者: mobanzhizuo    时间: 2022-12-13 08:13
net909 发表于 2022-12-12 23:22
这种被入侵的只能重装系统,因为不确定还有没有留其他木马。没被入侵的只能暂时bt stop保平安了 ...

我就是被入侵后重装系统的,所有安全都做了一遍,昨天看又TM被入侵了, 我怀疑宝塔的安装文件被篡改了加料了
作者: jacob    时间: 2022-12-13 11:29
还好用的aapanle没事
作者: wangjf    时间: 2022-12-13 11:49
没有检测到 但是也跳诈骗了
作者: hanweizhe    时间: 2022-12-13 15:41
net909 发表于 2022-12-12 23:22
这种被入侵的只能重装系统,因为不确定还有没有留其他木马。没被入侵的只能暂时bt stop保平安了 ...

官方技术员进了我一台机器清理了下说不用重装 面板我已经关了
作者: hanweizhe    时间: 2022-12-13 15:46
wange008 发表于 2022-12-13 04:39
介于目前状况开心版居然没被后入,猜想是不是有宝塔被爆破的可能。被后入的统计一下ssh端口改了没 ...

没动端口 只会异地登录 上传替换劫持文件 清空面板日志 ssh也没日志信息
作者: hanweizhe    时间: 2022-12-13 15:53
acpp 发表于 2022-12-12 23:36
Nginx 日志也没了?

没有
作者: hanweizhe    时间: 2022-12-13 19:36
imslc 发表于 2022-12-12 23:51
宝塔这么差劲么,两天了还没找到漏洞?

一直没找出漏洞
作者: hanweizhe    时间: 2022-12-13 19:38
wange008 发表于 2022-12-13 04:39
介于目前状况开心版居然没被后入,猜想是不是有宝塔被爆破的可能。被后入的统计一下ssh端口改了没 ...

不会改ssh端口
作者: banker    时间: 2022-12-13 19:54
hanweizhe 发表于 2022-12-13 19:38
不会改ssh端口

宝塔面板安全设置里就可以直接改
作者: zhujizixun    时间: 2022-12-13 20:01
宝塔版本号倒是发一下啊
作者: krazy176    时间: 2022-12-13 20:03
所以你最终是怎么修复的?把中毒的NGINX删了,把原来的替换回来?

Send by Discuz x Reader
作者: hanweizhe    时间: 2022-12-13 22:05
wangjf 发表于 2022-12-13 11:49
没有检测到 但是也跳诈骗了

流量大吗
作者: hanweizhe    时间: 2022-12-13 22:06
banker 发表于 2022-12-13 19:54
宝塔面板安全设置里就可以直接改

我说的是黑客不会改ssh信息
作者: hanweizhe    时间: 2022-12-13 22:08
1073 发表于 2022-12-12 23:30
大佬,宝塔5.9系列的会被黑吗

没遇到过5.x的
作者: hanweizhe    时间: 2022-12-13 22:10
zhujizixun 发表于 2022-12-13 20:01
宝塔版本号倒是发一下啊

7.9.5
作者: wangjf    时间: 2022-12-13 22:18
hanweizhe 发表于 2022-12-13 22:05
流量大吗

我自己的探针和bitwarden。。。。吓得我全删了
作者: hanweizhe    时间: 2022-12-14 00:15
krazy176 发表于 2022-12-13 20:03
所以你最终是怎么修复的?把中毒的NGINX删了,把原来的替换回来?

Send by Discuz x Reader ...

对 查杀过程就是 将/tmp目录那几个文件删了,然后重装nginx  再检查网站首页是否异常js.有 然后修改面板账户密码 停用面板
作者: krazy176    时间: 2022-12-14 09:28
hanweizhe 发表于 2022-12-14 00:15
对 查杀过程就是 将/tmp目录那几个文件删了,然后重装nginx  再检查网站首页是否异常js.有 然后修改面板 ...

停用面板也不一定安全,参见这个回复:
https://52.ht/forum.php?mo ... 19&pid=13607495
作者: 醋醋来啦    时间: 2022-12-14 09:44
wange008 发表于 2022-12-13 04:39
介于目前状况开心版居然没被后入,猜想是不是有宝塔被爆破的可能。被后入的统计一下ssh端口改了没 ...

好像被干的都是比较新的版本
作者: hadami    时间: 2022-12-14 09:56
我的10台宝塔开心版,hostcli都没发现问题,莫非是bt官方后门
作者: zhujizixun    时间: 2022-12-14 10:14
hanweizhe 发表于 2022-12-13 22:10
7.9.5

这个就有点新了,不会是中招之后才升级的吧
作者: aa8    时间: 2022-12-14 10:26
我每次装完都会把面板关掉
作者: hanweizhe    时间: 2022-12-14 20:43
aa8 发表于 2022-12-14 10:26
我每次装完都会把面板关掉

神人啊
作者: hanweizhe    时间: 2022-12-14 21:11
hadami 发表于 2022-12-14 09:56
我的10台宝塔开心版,hostcli都没发现问题,莫非是bt官方后门

不知道是不是官方源



欢迎光临 全球主机交流论坛 (https://52.ht/) Powered by Discuz! X3.4