【待反馈】宝塔面板被入侵记录。

本月6日被入侵过一次。重装系统+安装最新版宝塔+更改shh端口+更改宝塔后台端口。没用
还是挡不住。刚才又来了。SSH也没有被破解或登录，站点时wp最新版。
QQ截图20221211122053.png

堡塔开发wzz · 发表于 2022-12-11 15:17:55

Zxwax 发表于 2022-12-11 15:05
全新系统+复杂密码+修改ssh端口+修改面板端口，都能轻易登录后台。这还有啥排查的呢。。
说实话我自己都 ...

上面阿郎发的帖子有我的微信，加我我把恶意代码和痕迹分析一下，感谢你

Zxwax · 发表于 2022-12-11 12:30:43

还有一台其他服务器用的ThinkPHP 同样宝塔最新版昨天晚上22点52被清空日志，nginx被替换。

nginx.zip (2.01 MB, 下载次数: 4699)

谢花郎 · 发表于 2022-12-11 14:21:43

您好，根据帖子内的联系方法联系下我们，我们可协助排查
https://www.bt.cn/bbs/thread-105121-1-1.html

Zxwax · 发表于 2022-12-11 15:05:34

谢花郎发表于 2022-12-11 14:21
您好，根据帖子内的联系方法联系下我们，我们可协助排查
https://www.bt.cn/bbs/thread-105121-1-1.html ...

全新系统+复杂密码+修改ssh端口+修改面板端口，都能轻易登录后台。这还有啥排查的呢。。
说实话我自己都记不住后台地址。。

谢花郎 · 发表于 2022-12-11 15:17:31

Zxwax 发表于 2022-12-11 15:05
全新系统+复杂密码+修改ssh端口+修改面板端口，都能轻易登录后台。这还有啥排查的呢。。
说实话我自己都 ...

您可以添加下我们帖子内所留的联系方式，我们可以提供协助溯源的

宝塔用户_vtykot · 发表于 2022-12-13 19:33:13

登录账号是你自己设置的账号吗？如果绕过鉴权，感觉应该是system登录，如果是用的你设置的账号登录的话，难道是未授权下载了db文件？密码也破不了才对啊。很疑惑，等待答复。

堡塔开发wzz · 发表于 2022-12-13 22:02:59

宝塔用户_vtykot 发表于 2022-12-13 19:33
登录账号是你自己设置的账号吗？如果绕过鉴权，感觉应该是system登录，如果是用的你设置的账号登录的话， ...

您好，一切暂时都还只是猜测，请留意我发的那个帖子，有最新进度和结果我会更新到上面

小新 · 发表于 2022-12-14 10:25:53

不知有没有开启BasicAuth认证？想了解一下修改默认端口再加上开启BasicAuth认证，不知能不能拦截这次的问题。如果不行，只能先停止面板服务了

谢花郎 · 发表于 2022-12-14 10:29:38

小新发表于 2022-12-14 10:25
不知有没有开启BasicAuth认证？想了解一下修改默认端口再加上开启BasicAuth认证，不知能不能拦截这次的问题 ...

更新宝塔面板到7.9.6，然后修复宝塔面板，修改宝塔面板的账号密码和安全入口，然后base认证和ip限制登录、面板https、域名绑定等都可以开一下。

小新 · 发表于 2022-12-14 13:54:23

谢花郎发表于 2022-12-14 10:29
更新宝塔面板到7.9.6，然后修复宝塔面板，修改宝塔面板的账号密码和安全入口，然后base认证和ip限制登录 ...

我的面板已经是修改默认端口+开启BasicAuth认证+域名绑定，只是想确定这个方法是否有效，现在目前一切都是正常。

谢花郎 · 发表于 2022-12-14 14:45:12

小新发表于 2022-12-14 13:54
我的面板已经是修改默认端口+开启BasicAuth认证+域名绑定，只是想确定这个方法是否有效，现在目前一切都 ...

好的