【官方公告】关于外传宝塔面板或Nginx异常的公告

当前有个别用户反馈被挂马的情况，均为海外服务器，我司立即组织技术团队跟进排查，经过2天的紧急排查，暂未发现Nginx以及面板的安全漏洞，结合用户反馈及分析统计，没有出现大规模被挂马的情况；少部分用户的海外服务器被挂马分析，此木马主要行为是篡改Nginx主程序，以达到篡改网站响应内容。目前累计收到20个用户反馈网站被挂马，均为境外服务器，我们继续全力跟进和协助用户排查Nginx挂马情况，直到溯源出结果。

当前我们已排查了所有服务器节点，检验了文件MD5值，官方安装源，无异常；审计了面板代码，无“0 day”漏洞。2020年9月份以来我司和补天漏洞*台联合发布宝塔面板百万悬赏漏洞征集活动，一个洞最高奖励10万元(税后)，漏洞征集地址：https://www.butian.net/Article/content/id/521，截止目前，暂未收到相关漏洞提交。在此向广大网友征集漏洞。

如果您对面板的安全性有顾虑，请参考以下设置

升级至最新版（最新版用户点击修复面板），修改安全入口及账号密码，开启动态口令认证。

服务器已被Nginx挂马的用户还需要做多几步操作：

1、清理木马，执行下面的命令即可自动化清理，命令会自动重装Nginx（清理木马之后请一定要清理浏览器缓存、有部署CDN的需要清理CDN缓存）

1. curl -sSO http://download.bt.cn/tools/wng_clean.py && python wng_clean.py && rm -rf wng_clean.py

复制代码

2、升级至最新版，修改安全入口及账号密码，开启动态口令认证
3、【企业版防篡改-重构版】插件可以有效防止网站被篡改，建议开启并设置root用户禁止修改文件（需要使用时再放开），另外，将nginx关键执行目录（/www/server/nginx/sbin）锁住
4、【宝塔系统加固】插件中的【关键目录加固】功能，可以将nginx关键执行目录（/www/server/nginx/sbin）锁住，此目录在正常使用中不会有任何修改的行为，除了重装以外其他修改行为均可视为被篡改，所以将它锁上。



关于网上误传nginxBak文件为木马的说明：


nginxBak文件是当在面板更新nginx时，面板会自动备份一份nginxBak文件，防止更新出现异常后无法进行恢复如之前的nginx版本为1.22.0，如果在面板点击更新，更新至1.22.1，就会备份一份1.22.0的主程序文件为nginxBak，同时文件大小不一致的话，是因为安装方式的不同，极速安装包的安装大小一般都为5M，编译方式安装的大小大约为10M以上，而更新走的是编译方式更新。以上nginxBak并非挂马文件。

下面是目前已知木马特征：
明显现象：访问自己的网站跳转到其他非法网站
如果出现了上面的现象，排查是否符合下面的特征
1、使用无痕模式访问目标网站的js文件，内容中包含：_0xd4d9  或  _0x2551  或  _0xb2ce  或  _0xafac  关键词的
2、面板日志、系统日志都被清空过的
3、/www/server/nginx/sbin/nginx 被替换的，或者存在 /www/server/nginx/conf/btwaf/config 文件的
4、*期安装的nginx存在 /www/server/panel/data/nginx_md5.pl 文件，可与现有文件进行比较确认是否被修改（nginx_md5.pl文件是我们用来记录上一次安装nginx时的md5值，如果您的网站异常了，可以打开这个文件跟现在的/www/server/nginx/sbin/nginx文件md5做对比）


如果已经出现明显挂马、异常跳转等问题，可以执行下面的命令进行清理
不确定是否符合？下面的命令也可以自行排查，有异常脚本会自动清理并重装nginx

1. curl -sSO http://download.bt.cn/tools/wng_clean.py && python wng_clean.py && rm -rf wng_clean.py

复制代码

请广大用户注意，如果已知是Nginx挂马且命令无法执行的，可以加我微信我协助您处理，其他挂马或没有出现问题的用户可以帖子交流，感谢使用宝塔面板。

官方电话：0769-23030556

企业微信：

这个问题我也遇到过，你说宝塔没有问题，又不能说出问题到底出在哪里，有说服力？用户怎么信服？建议官方对失陷服务器进行溯源，并且出具溯源报告。如果自己公司没有相关安全人员，可以找专业安全公司协助一下，这种大规模的安全事件建议宝塔还是重视对待。

[root@cp ~]# cd /www/server/nginx/sbin
[root@cp sbin]# curl -sSO -k https://download.bt.cn/tools/w_check.py && btpython w_check.py && rm -rf w_check.py
检测到异常木马文件： /var/tmp/systemd-private-56d86f7d8382402517f3b51625789161d2cb-chronyd.service-jP37av
检测到异常木马文件： /tmp/systemd-private-56d86f7d8382402517f3b5-jP37av
[root@cp sbin]#

已经中奖了。。。为啥说人家外面传的不属实。。。

专业版用户。这个问题我最早在今年上半年就出现了

网传就是网传   有些人还用开心版呢

夏季未央 发表于 2022-12-13 08:47
演示站是开放的，谁都可以登录，放点东西很正常，不能说明什么。

你的无知令人感到担忧，你登录demo放个东西试试。

宝塔用户_xbykqn 发表于 2022-12-10 22:36
我发个帖子就被宝塔删了。他们自己的演示站吧都被黑了还在说自己产品没问题。不知道他们怎么想的。 ...

演示站是开放的，谁都可以登录，放点东西很正常，不能说明什么。

宝塔用户_fydezo 发表于 2022-12-10 21:01
我之前也有服务器被黑了 我还保留着被植入的文件 可以提供点线索 看对你们有没有帮助 加这个帖子留的QQ  ...

我发个帖子就被宝塔删了。他们自己的演示站吧都被黑了还在说自己产品没问题。不知道他们怎么想的。

运行命令显示
显示 -bash: btpython: 未找到命令

这是中招了，还是没有中招？？？

没想到我也中招了，设置了重重验证登录，还是中招，使用的是nginx1.22，根本不是修改网页文件，直接就是nginx中招，开启nginx就有问题。
一大批网站，只能全部打包重装系统，重新部署。

1501473917vvpn 发表于 2022-12-9 10:58
是不是只要把宝塔一直关闭了，就可以完全杜绝这个问题？

那你下载宝塔的目的是？

中招了 用命令也提示没有病毒 但隔个几分钟随机跳到不同的网站

我的情况是百度蜘蛛抓取会注入灰产链接，正常访问看不出来，源码中看了也没有。初步判断是nginx被注入

一直在跳转到h站，快一个月了，有解决方案吗？ 也升级到最新的 7.9.82

只要重装nginx，马就没有了，过几天又挂马，又要重装。

网传不实？骗鬼呢？网站首页挂马，进去直接跳转黄站！！！！！！！

作为一个小白  我不会清理js啊  官方客服加了半个月了都没同意 人麻了

现在漏洞仍然存在，把端口号，登陆账号密码全部修改更复杂的之后，通过命令关闭宝塔，过几天网站又被跳转了。到目前为止这个问题仍然没有解决方案。。。。。

我也中招了，被挂马。刚开始还以为被SQL注入了，
现在用命令看了一下，的确是发现两条木马，手动去删除了。

更新BT面板，更新nginx。更新CDN
暂时看上去没问题了，希望不会重新出问题。。。

肯定是哪里有漏洞，希望官方能修好漏洞。

宝塔用户_tummyj 发表于 2022-12-29 18:59
是var/tmp 被改。缓存中招~！现在没好办法，我也是专业版各种专业版防护，包括他们说的锁nginx目录都无解 ...

你说到点子上了，就是缓存中招，我是看着心烦了

宝塔用户_rlhany 发表于 2022-12-16 20:08
你好 我的服务器就出现跳转一个叫al影视的H站，请问该如何处理呢？我不太懂 ...

我和你一样，跳转同一个网站，还请宝塔能加固啊

w2751323 发表于 2022-12-17 23:18
你目前解决了吗  跳转别的站的问题

我和你跳转一样的站，删了网站重建一样跳转，希望宝塔工程师能够加固啊，我们跟宝塔好多年了

alache 发表于 2022-12-27 01:13
没想到我也中招了，设置了重重验证登录，还是中招，使用的是nginx1.22，根本不是修改网页文件，直接就是ngi ...

是var/tmp 被改。缓存中招~！现在没好办法，我也是专业版各种专业版防护，包括他们说的锁nginx目录都无解！！！
无奈自己搭建环境了，不过安全防护都没了。只能先忍忍至少不被黑了

加微信和qq都没有通过，我的服务出现已知木马特征，麻烦帮忙处理一下，谢谢

myboss 发表于 2022-12-11 15:00
我Apache环境的，也被入侵了，是一个境外xx云的赌网，我已经清楚了大部分木马，并还原了被篡改了页面。
现 ...

不一样。你这个跟nginx中招不一样！！！nginx中招并不篡改cms源码，让你感觉是arp攻击！结果又不是