【已回应】嵌入挖矿脚本的程序侠CMS？？？

下午尝试一键部署【程序侠CMS】，然后提示下载失败，后面发现服务器的cpu跑满了。刚刚查出来，被装了coinhive的挖矿脚本。麻烦管理员查一下。

heekei · 发表于 2018-12-10 21:22:51

补充：
经过排查后，初步判断是nginx的默认配置文件被篡改，80端口监听的index.html被篡改插入挖矿js脚本。

解决方案：
重启nginx并reload配置。
为了安全起见，现在我把80端口给封掉了，全站只支持https。

麻烦宝塔的大佬们排查一下，一键部署程序侠CMS 这个过程中到底哪里出了问题。

河妖 · 发表于 2018-12-11 10:07:18

经过排查没有发现问题
一键部署只会创建站点的nginx配置文件
整个过程是不会修改nginx默认配置文件及index.html文件
你说Nginx默认配置文件被篡改具体是改的那个地方
还是说改的只是Index.html
这个index.html是你某一个站点下的吗

heekei · 发表于 2018-12-12 14:56:35

河妖发表于 2018-12-11 10:07
经过排查没有发现问题
一键部署只会创建站点的nginx配置文件
整个过程是不会修改nginx默认配置文件及index. ...

是index.html被改了，是nginx的默认index.html。

河妖 · 发表于 2018-12-12 17:47:16

你这个路径下的不是宝塔的nginx默认文档
宝塔所有文件都在/www目录下
你这个路径看起来是系统自带的

宝塔技术-小强 · 发表于 2018-12-12 18:13:49

你好。程序侠CMS 存在 ThinkPHP 的那个漏洞。这边正在下架那个程序侠的CMS

宝塔技术-小强 · 发表于 2018-12-12 18:14:35

昨天本来就应该下架了，拖延了一段时间

【菠萝云】免费装宝塔,4G内存68	★美国CN2高防服务器★打死退款★	★香港CN2云/站群/高防/特价机★	【滴盾】高防服务器专抗DDOS	【多途云】高防CDN
高防服务器，无视一切流量攻击	SSL证书，防止数据被劫持	OV/EV SSL证书，可当日签发	宝塔一键部署DV,EV,OV,SSL证书	A10招租，联系qq394030111
★易探云.香港/美国/国内/游戏云★	【苍穹云】高性能云服务器 1.2折起	【迅线云盒】内网穿透-固定公网IP	高防服务器40核 64G 20M 199/月	【恒爱云】香港低至8元1核1G2M