【已解决】我的机全被黑客挂马了（已结案，和宝塔无关）

本帖最后由奶酪先生于 2025-10-12 04:07 编辑

系统：ubt22.04
面板版本：正式版11.0
事情发生时间：10月4号，黑客在10点、12点、14点用root身份ssh我三台机（都是高位端口+13位强密）篡改了宝塔配置，挂了马，其中给BT_plane远程地址改成123.6.49.47的城域网ip，还带ddns的、楼主是在10月9号发现，期间在ns、Linuxdo、v2ex发过许多帖子排查，一直找不出渗透原因。今天跟idc吐槽的时候，听说他们那边九月底（11.0）版本发布后，陆续出现我这种情况，都是被入侵挂马（2025/10/12，经宝塔团队鼎力调查，最终确认面板没有被登录的痕迹，攻击者是靠ssh上机、属于账密泄露）

奶酪先生 · 发表于 3 天前

黑客还创建了个假的宝塔网站数据统计模块，给php跟http访问数据传回到他的河南ip

宝塔用户_bvhzxb · 发表于 3 天前

有没有漏洞不知道，升级后登录保持有问题，官方竟然没发现，我升级了两台都一样的问题。其它的服务器现在我不升级了

宝塔用户_hpjbnd · 发表于 3 天前

很多用宝塔的用户是技术不精通、安全经验不足，不一定是宝塔的后门，很多是安全把控不到位导致的

桥哥 · 发表于 3 天前

感谢您的反馈，我这边安排技术联系您，协助您排查问题。宝塔目前未收到其他用户反馈11.0版本挂马问题。初步判断不是面板的问题。具体需要您这边协助进一步排查。

奶酪先生 · 发表于前天 00:50

技术员已经协助破案去马，并不是宝塔面板问题、攻击者没有登录宝塔，而是ssh一次上机，是root账密泄露导致的

桥哥 · 发表于前天 01:15

客户提供了被挂马的服务器，由宝塔安全团队溯源排查，确认面板没有被登录的痕迹，攻击者是靠ssh上机、属于服务器账密泄露，和宝塔面板无关。建议大家定期修改账号密码。

hackhp · 发表于前天 02:59

宝塔用户_bvhzxb 发表于 2025-10-11 11:03
有没有漏洞不知道，升级后登录保持有问题，官方竟然没发现，我升级了两台都一样的问题。其它的服务器现在我 ...

这个很多人反馈了，官方说没问题，也是搞笑。

█菠萝云买2送1活动！12G内存99元	cncsz专注海外服务器+站群	█ 蛮牛云-香港4H4G20M仅25元 █	A4招租，联系qq394030111	【UStat】免费易用的网站分析平台
高防服务器，无视一切流量攻击	【阿里云】宝塔一键部署，低至5折	香港站群金牌Gold 6138大促销	【阿里云】宝塔一键部署，低至5折	OV/EV SSL证书，可当日签发
A11招租，联系qq394030111	▶CPS云◀海外大带宽vps服务器	OV/EV SSL证书，可当日签发	A14招租，联系qq394030111	【UStat】免费易用的网站分析平台