【待反馈】宝塔账号被恶意盗取登录；每次修改后也没用

本帖最后由堡塔运维香菜卷于 2023-7-24 10:24 编辑

问题：
宝塔账号刚修改完一会，就会被破解登录，查看日志也没有暴利破解痕迹，直接命中；

后来增加了动态口令也没用，也可以绕过；不清楚是宝塔的漏洞还是什么问题；

集思广益下，看看是通过什么方法搞的

宝塔用户_xfxzgm · 发表于 2023-7-24 09:47:52

系统被挂马了，拿到了最高权限，建议关闭ssh登录，只保留面板登录

宝塔用户_jsvyxt · 发表于 2023-7-24 10:08:20

宝塔用户_xfxzgm 发表于 2023-7-24 09:47
系统被挂马了，拿到了最高权限，建议关闭ssh登录，只保留面板登录

ssh已经关闭了；保留宝塔登录的话，对方不是也可以通过面板修改ssh及服务器账号；有可以查杀的工具吗

香菜卷 · 发表于 2023-7-24 10:24:49

您好，麻烦您在终端执行一下下述命令截图看看

history | grep sh

复制代码

宝塔用户_jsvyxt · 发表于 2023-7-24 10:48:36

堡塔运维香菜卷发表于 2023-7-24 10:24
您好，麻烦您在终端执行一下下述命令截图看看

宝塔用户_jsvyxt · 发表于 2023-7-24 10:49:58

堡塔运维香菜卷发表于 2023-7-24 10:24
您好，麻烦您在终端执行一下下述命令截图看看

香菜卷 · 发表于 2023-7-24 10:55:08

本帖最后由堡塔运维香菜卷于 2023-7-25 18:18 编辑

根据您所描述的，不排除您的服务器被黑客植入木马并且拥有提权操作，这边建议您做好相关的备份，重装服务器使用，并且建议不要执行来历不明的脚本使用。
收集的一些防挂马、篡改、恶意提权的小防护攻略。
1.网站上线前，对自己的项目用常用的一些工具进行程序漏洞安全扫描，并且做多份备份；
2.为了安全起见，网站后台管理地址经常改，改完做多份纪录保存，并且做好历史修改记录；
3.默认数据库名称要改，能复杂尽量复杂，用好复制粘贴按键；
4.后台启用验证码登录模块，不要怕麻烦，人家弄您网站的人都不嫌麻烦；
5.做好网站防护，比如非法上传文件、会员上传恶意文件的功能等，装好web防火墙；
6.服务器主机的ssh能不开就不开，尽量少使用root用户登录；即使登录也做好登录限制为仅允许自己的ip，高强度复杂的密码是第一必设项；
7.宝塔面板有多个辅助防护插件，例如调用系统防火墙、web防火墙（nginx防火墙/apache防火墙）、php安全防护、防篡改、防入侵等。

█菠萝云买2送1活动！12G内存99元	阿里云国际低折扣多云自助平台	APP分发-无行业限制免审核	A4招租，联系qq394030111	A5招租，联系qq394030111
高防服务器，无视一切流量攻击	【阿里云】宝塔一键部署，低至5折	A8招租，联系qq394030111	【阿里云】宝塔一键部署，低至5折	OV/EV SSL证书，可当日签发
█ 易探云·香港/美国vps仅9元 █	▶CPS云◀海外大带宽vps服务器	OV/EV SSL证书，可当日签发	【云防护】专注域名和网站安全防护	A15招租，联系qq394030111

【待反馈】宝塔账号被恶意盗取登录；每次修改后也没用

浏览过的版块