宝塔官网 IDC推荐 宝塔币商城 邀请大使
█菠萝云买2送1活动!12G内存99元 A2招租,联系qq394030111 APP分发-无行业限制免审核 香港CN2物理机8核32G,398元/月 【UStat】免费易用的网站分析平台
高防服务器,无视一切流量攻击 【阿里云】宝塔一键部署,低至5折 香港站群金牌Gold 6138大促销 【阿里云】宝塔一键部署,低至5折 OV/EV SSL证书,可当日签发
█ 易探云·香港/美国vps仅9元 █ ▶CPS云◀海外大带宽vps服务器 OV/EV SSL证书,可当日签发 【云防护】专注域名和网站安全防护 【UStat】免费易用的网站分析平台
当前位置:论坛首页 > Linux面板 > 求助

【待反馈】Nginx 1.22.1版本,每半小时就会被修改Nginx的配置

yuliang发表在 Linux面板2024-5-28 09:22 [复制链接] 14 3098

为了能快速了解并处理您的问题,请提供以下基础信息:
面板、插件版本:

8.2.0
系统版本:

CentOS 7
问题描述:

Nginx 1.22.1版本,每半小时就会被修改
Nginx的配置文件,挂马跳转到一个黄色网站,目前安装了
堡塔企业级防篡改 - 重构版 3.7限制
Nginx的配置文件目录暂时能防止被自动修改配置文件,下图是防纂改的日志截图,不知是宝塔被驻留了木马程序被定时修改配置文件还是别人获取了服务器权限修改的,目前有什么办法找出这个定时修改的木马程序?有其他朋友碰到相同问题吗,有什么解决方案?自行修改了root账号密码,修改面板登录地址和密码,开启动态口令登录,都没用,防纂改日志还是显示每半小时自动修改文件信息。
相关截图(日志、错误):

QQ截图20240528091139.jpg QQ截图20240528091155.jpg
使用道具 举报 只看该作者 回复
yuliang
发表于 2024-5-28 09:23:43 | 显示全部楼层
补充下:Nginx卸载重装任何版本都没用,还是会被自动定时修改配置文件!!
使用道具 举报 回复 支持 反对
运维技术阿闯
发表于 2024-5-28 10:18:31 | 显示全部楼层
您好,看到您这边显示是root用户对文件进行了一个修改,您看一下是否可以使用软件商城中的“微步木马检测、木马查杀工具、网站文件监控”这些对文件进行一个扫描,其次使用“宝塔系统加固”这样用户就无法对文件进行修改
使用道具 举报 回复 支持 反对
yuliang
发表于 2024-5-28 14:07:26 | 显示全部楼层
运维技术阿闯 发表于 2024-5-28 10:18
您好,看到您这边显示是root用户对文件进行了一个修改,您看一下是否可以使用软件商城中的“微步木马检测、 ...

好的,我试试看这些工具能不能查杀出木马文件!!
使用道具 举报 回复 支持 反对
运维技术阿闯
发表于 2024-5-28 14:20:00 | 显示全部楼层
yuliang 发表于 2024-5-28 14:07
好的,我试试看这些工具能不能查杀出木马文件!!

H4SLR2PBPHDLTL9YO`]RI6N.png 好的,您也可以看一下防篡改的历史纪录
在您被篡改文件打开后下边有个历史版本
使用道具 举报 回复 支持 反对
yuliang
发表于 2024-5-28 18:23:04 | 显示全部楼层
运维技术阿闯 发表于 2024-5-28 14:20
好的,您也可以看一下防篡改的历史纪录
在您被篡改文件打开后下边有个历史版本 ...

查看了纂改记录的历史版本显示如下图。
QQ截图20240528182055.jpg
使用道具 举报 回复 支持 反对
运维技术阿闯
发表于 2024-5-28 18:27:35 | 显示全部楼层
yuliang 发表于 2024-5-28 18:23
查看了纂改记录的历史版本显示如下图。

您好,后台私信一下您的面板登录链接吧,这边查看一下
使用道具 举报 回复 支持 反对
yuliang
发表于 2024-5-28 18:51:20 | 显示全部楼层
运维技术阿闯 发表于 2024-5-28 18:27
您好,后台私信一下您的面板登录链接吧,这边查看一下

已经把宝塔登录信息发送给你
使用道具 举报 回复 支持 反对
yuliang
发表于 2024-5-28 20:25:57 | 显示全部楼层
本帖最后由 yuliang 于 2024-5-28 20:29 编辑
yuliang 发表于 2024-5-28 18:51
已经把宝塔登录信息发送给你

通过文件足迹显示的文件,我删除了tmp目录下图片中标箭头的文件,目前每半小时的自动修改已经停止,不知是不是我真正删除了木马,继续观察中。
QQ截图20240528202140.jpg QQ截图20240528202035.jpg
使用道具 举报 回复 支持 反对
宝塔技术-小强
发表于 2024-5-28 21:03:46 | 显示全部楼层
可以安装一个入侵检测的软件、

软件商店搜索堡塔入侵检测

这个可以配合防篡改找到具体的是那个进程、修改的。进程id 进程的详细信息。
使用道具 举报 回复 支持 反对
yuliang
发表于 2024-5-28 21:35:34 | 显示全部楼层
宝塔技术-小强 发表于 2024-5-28 21:03
可以安装一个入侵检测的软件、

软件商店搜索堡塔入侵检测

好的,已经安装,继续观察中!!
使用道具 举报 回复 支持 反对
yuliang
发表于 2024-5-28 21:46:28 | 显示全部楼层
本帖最后由 yuliang 于 2024-5-28 21:47 编辑

自动篡改又继续运行了,看来上面删除的文件和这个木马没关系,每半小时一次!!现在还好有防纂改限制,不然头都要大 QQ截图20240528214706.jpg
使用道具 举报 回复 支持 反对
运维技术阿闯
发表于 2024-5-29 09:24:40 | 显示全部楼层
yuliang 发表于 2024-5-28 21:46
自动篡改又继续运行了,看来上面删除的文件和这个木马没关系,每半小时一次!!现在还好有防纂改限制,不然 ...

您好,请看一下私信
使用道具 举报 回复 支持 反对
yuliang
发表于 2024-5-29 13:25:27 | 显示全部楼层
运维技术阿闯 发表于 2024-5-29 09:24
您好,请看一下私信

已经回复您私信
使用道具 举报 回复 支持 反对
运维技术阿闯
发表于 2024-6-3 09:43:14 | 显示全部楼层
yuliang 发表于 2024-5-29 13:25
已经回复您私信

防篡改是拦截中,修改文件目前未找到根源,需要联系一下厂商看机器是否为二次利用的
使用道具 举报 回复 支持 反对
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

登录 注册
普通问题处理

论坛响应时间:72小时

问题处理方式:排队(仅解答)

工作时间:白班:9:00 - 18:00

紧急运维服务

响应时间:3分钟

问题处理方式:宝塔专家1对1服务

工作时间:工作日:9:00 - 18:30

宝塔专业团队为您解决服务器疑难问题

点击联系技术免费分析

工作时间:09:00至18:30

  • 联系我们
  • 周一至周六,节假日除外
  • 9:15~12:30,14:00~18:15
  • 联系电话:0769-23030556
  • 如有问题,论坛发帖咨询
  • 商务合作QQ/WX:394030111

《开源许可协议》 | 《用户协议》 | 《隐私声明》 |

高新技术企业编号GR201944000059|粤B2-20201398|粤ICP备17030143号|粤公网安备44190002003211号

Copyright © 2021 宝塔面板|让运维简单高效(www.bt.cn) 广东堡塔安全技术有限公司     Powered by Discuz! X3.4Rights Reserved

违法网站请勿向我司工作人员发起任何形式的人工服务请求,严禁使用宝塔面板从事任何非法活动 | 违规信息举报入口 | 中国互联网举报中心

快速回复 返回顶部 返回列表