【已解答】请官方技术协助检查，nginx WAF 问题

标准宝塔环境，没有安装其他任何软件，
WAF 被挂码
挂马位置 `/wwwzu/server/nginx/waf/config  ` ，这个文件在`/www/server/nginx/waf.zip  `压缩文件里面是没有

WAF  引入位置 /www/server/nginx/waf/init.lua ，这个文件在压缩包里面就预留了 require 'config' ,

手动删除 /wwwzu/server/nginx/waf/config 文件后，仍然继续生成。检查ssh 登陆记录，session 记录都没有看到异常登陆，/etc/passwd  等文件也未见异常

通过追踪文件变化内容，看到是 proctitle=/usr/sbin/crond -n
----
type=PROCTITLE msg=audit(11/08/2022 23:32:55.984:1020637) : proctitle=/usr/sbin/crond -n
type=PATH msg=audit(11/08/2022 23:32:55.984:1020637) : item=1 name=/www/server/nginx/waf/config inode=2825385801 dev=fd:00 mode=file,644 ouid=root ogid=root
rdev=00:00 objtype=CREATE cap_fp=none cap_fi=none cap_fe=0 cap_fver=0
type=PATH msg=audit(11/08/2022 23:32:55.984:1020637) : item=0 name=/www/server/nginx/waf/ inode=2825381232 dev=fd:00 mode=dir,755 ouid=root ogid=root rdev=00
:00 objtype=PARENT cap_fp=none cap_fi=none cap_fe=0 cap_fver=0
type=CWD msg=audit(11/08/2022 23:32:55.984:1020637) :  cwd=/
type=SYSCALL msg=audit(11/08/2022 23:32:55.984:1020637) : arch=x86_64 syscall=open success=yes exit=10 a0=0x7f8d38036500 a1=O_WRONLY|O_CREAT|O_TRUNC a2=0666 a3=0x24 items=2 ppid=10821 pid=99352 auid=unset uid=root gid=root euid=root suid=root fsuid=root egid=root sgid=root fsgid=root tty=(none) ses=unset comm=crond exe=/usr/sbin/crond key=config
----

查找PPID 进程
ps -ef|grep 10821
root    10821    1  0 Nov08 ?       00:00:12 /usr/sbin/crond -n
root    106145  10821  0 00:29 ?       00:00:00 /usr/sbin/CROND -n
root    106152  10821  0 00:29 ?       00:00:00 /usr/sbin/CROND -n
root    106153  10821  0 00:29 ?       00:00:00 /usr/sbin/CROND -n

/var/log/cron  日志在 11/08/2022 23:32:55.984 前后没有找到相关记录，那这个定时任务纠结是怎么设置的，怎么深入排查这个问题，怎么避免

宝塔技术-小强 · 发表于 2022-11-9 10:54:50

这已经很清晰了。
服务器root权限已经丢失了。计划任务已经被人增加任务。
先在计划任务找到写入文件的任务呗。然后排查一下网站日志啊之类的日志

宝塔用户_wgkuhe · 发表于 2022-11-9 11:31:04

宝塔技术-小强发表于 2022-11-9 10:54
这已经很清晰了。
服务器root权限已经丢失了。计划任务已经被人增加任务。
先在计划任务找到写入文件的任务 ...

可以确定，已经被拿到root权限，但是里面定时任务找不到这个定时任务文件

服务器ssh 有白名单，不可能是 ssh 进来的，也不可能是网站webshell，都是静态文件。
所以是宝塔有新的漏洞了？
还有那个 /www/server/nginx/waf.zip （MD5:e33e97f609f10b2fc56c82cbf899bbe2 ）里面的 require 是怎么回事，这个是官方的文件吗

宝塔用户_wgkuhe · 发表于 2022-11-9 11:34:07

宝塔技术-小强发表于 2022-11-9 10:54
这已经很清晰了。
服务器root权限已经丢失了。计划任务已经被人增加任务。
先在计划任务找到写入文件的任务 ...

你们专业技能肯定比我强，这个查定时任务怎么查，能不能给些建议
对比了 cronie 在这个 rpm 安装的文件，通过md5 对比正常的机器的文件都是 OK 的

而且诡异的是 /var/log/cron 里面么有对应的日志记录，那这个定时任务究竟怎么清理呢

运维风光 · 发表于 2022-11-9 11:50:46

您好，查看下这个目录下的所有文件的内容是否正常

/var/spool/cron/

复制代码

宝塔用户_wgkuhe · 发表于 2022-11-9 12:51:41

运维风光发表于 2022-11-9 11:50
您好，查看下这个目录下的所有文件的内容是否正常

只有 root 用户有定时任务，
/var/spool/cron/root 与crontab -l 内容一致，里面只有宝塔面板添加的定时任务 /www/server/cron 下面的内容我都检查过，没有异常操作

宝塔用户_wgkuhe · 发表于 2022-11-9 12:54:15

运维风光发表于 2022-11-9 11:50
您好，查看下这个目录下的所有文件的内容是否正常

rpm -ql cronie* 对应的文件都看了，跟正版一致的，没发现异常的地方，但追踪的日志确实是显示 /usr/sbin/crond -n ，执行了写异常文件操作

宝塔用户_fydezo · 发表于 2022-11-15 12:52:13

我也出现一样的问题 /www/server/nginx/waf 位置被写入config 是不是升级了最新版7.95之后出现的问题

宝塔用户_ozbjgg · 发表于 2022-11-15 14:26:49

请问有没有解决办法？我的服务器也是这样的。

南南呦 · 发表于 2022-11-15 15:18:32

宝塔用户_ozbjgg 发表于 2022-11-15 14:26
请问有没有解决办法？我的服务器也是这样的。

建议编译方式重装一下nginx，然后被黑的时候检查一下md5值看看是不是nginx被篡改了。
md5sum /www/server/nginx/sbin/nginx
md5sum /www/backup/nginxBak
cat /www/server/panel/data/nginx_md5.pl

█ 菠萝云-主机特惠16G内存100元 █	【阿里云】低至5折	APP分发-无行业限制免审核	16核16G高防189元	【多途云】高防CDN
高防服务器，无视一切流量攻击	[恒爱网络]香港铂金弹性云免费试用	香港站群金牌Gold 6138大促销	【阿里云】宝塔一键部署，低至5折	OV/EV SSL证书，可当日签发
█ 易探云·香港/美国vps仅9元 █	CDN无视各类攻击\|无效退款	OV/EV SSL证书，可当日签发	【云防护】专注域名和网站安全防护	AWS CDN 4分，多家公有云代理