宝塔防火墙被恶意篡改waf.lua
本帖最后由 hehouyuan 于 2026-2-10 20:07 编辑为了能快速了解并处理您的问题,请提供以下基础信息:面板、插件版本:当前版本:11.5.0
系统版本:CentOS 7.9.2009 x86_64(Py3.7.9)Linux S202602088229 3.10.0-1160.el7.x86_64 #1 SMP Mon Oct 19 16:18:59 UTC 2020 x86_64 x86_64 x86_64 GNU/Linux服务器厂家:https://cn.raksmart.com/ 美国服务器
问题描述:
服务器重新安装 纯净的系统CentOS 7.9.2009 x86_64(Py3.7.9),我安装宝塔后,在安装宝塔防火墙9.8.5,所有防御都开启了,之后开始部署网站,网站全部完成均可以正常访问,过不了不久以后,发现该文件(/www/server/btwaf/waf.lua)被篡改了,此时我的网站也是出现被CC攻击,迫使我开启CC防御后,或者说攻击者先打我的网站让我安装防火墙,并且使用,在进行修改防火墙waf.lua的文件,所有网站在安卓端或者手机端下访问的时候跳转到非法网站了,之后我把防火墙卸载后,网站恢复正常,删除/www/server/btwaf/该目录后,重新安装防火墙,大概过了一分钟又被再次篡改/www/server/btwaf/waf.lua,我在思考一件事,在防火墙全防御开启的情况下,能修改掉防火墙的文件,我想应该不可能网站中毒导致被修改,php权限没有这么高的权限吧!
网站 :nginx + php 5.6 5.5 5.7 +mysql 5.6
相关截图(日志、错误):
附件是被污染后的waf.lua的文件
我通过宝塔系统加固 6.3 来锁定这个/www/server/btwaf/waf.lua 只读 不能写,也被突破强制修改
建议重装系统,安装宝塔后,马上关闭ssh
页:
[1]