【官方已回应】宝塔面板疑似被批量弱口令扫描

大致就是, 安装宝塔后出现异常上行流量，关闭后又恢复正常，详见：http://www.hostloc.com/thread-459525-1-1.html

经本人验证，确实存在上述问题：
1.安装了纯净CentOS7模板
2.使用官网最新面板安装包

当我完成安装后，登录进去，发现神秘端口开启:
GW}INUQO0K{Q7A{85IHJV93.png

随后，查看网络状态，上行异常，如图：
MI@HP$G5ZVRN0AXJVGSE0@4.png

我是宝塔的凡人，直接借楼主的贴子回复了：

1.39000-40000是FTP的被动模式端口，这是正常的，不知道可以问，不能乱猜，因为别人会把你猜的直接当成结果。

2.这就是批量弱口令扫描器，早早也写过使用尝试就是改端口，改账号，强密码。往后官方在加强这块防批量扫描和暴力破解，不过这个也是治标不治本的，最重要是使用的人要有一个基本常识，要对自己负责，改下端口，改下账号，改下密码。做了这些基本就可以免受其扰，这就是个很简单的事。

3.同时也借这个帖子回应下那些看到后台有拦截登陆日志，明明自己账号很复杂，别人怎么能猜到正确的账号呢，那个是旧版本的界面设计错误，就是爆破的人可能根本就没才对你的账号，但是我们后台日志也没记录别人用的是哪个账号，所以当时就直接在日志那输出了你的账号，但放心，这个没泄露，这只界面设计逻辑，这的确会给人带来困扰，所以在新的版本，我们只是提示别人登陆失败账号用*** 密码也是*** 替代了。

4.关于8888端口发包：宝塔是使用HTTP服务，只要有人访问面板，就会有上行流量，这和普通网站并没有本质区别
如果你使用抓包工具去分析报文，会发现，所有包都是响应访客的http

在这也感恩那些不传谣的朋友们，以及支持我们的朋友们，做个国内有良心的软件商，我们比任何人都在乎安全这个问题，所以才会大半夜看到这贴子也紧急回复。

感谢凡人的回复！支持宝塔一路向前！！

7月3日 12:56凡人回复：
所以你要记得言行一致，做支持宝塔的事情，造福一方使用宝塔的人。

TIM截图20180703134234.png

整个事情已经全部澄清并非宝塔BUG类的问题。

272683793 · 发表于 2018-7-2 21:04:27

本帖最后由 272683793 于 2018-7-2 21:14 编辑

是的，我机器也出现这个情况。最后封掉了2个IP
45.79.165.248
139.162.179.70
无图无真相

272683793 · 发表于 2018-7-2 21:05:09

[root@kvm ~]# ll /proc/919
total 0
dr-xr-xr-x  2 root root 0 Jul  2 20:34 attr
-rw-r--r--  1 root root 0 Jul  2 20:39 autogroup
-r--------  1 root root 0 Jul  2 20:39 auxv
-r--r--r--  1 root root 0 Jul  2 20:39 cgroup
--w-------  1 root root 0 Jul  2 20:39 clear_refs
-r--r--r--  1 root root 0 Jul  2 20:34 cmdline
-rw-r--r--  1 root root 0 Jul  2 20:39 comm
-rw-r--r--  1 root root 0 Jul  2 20:39 coredump_filter
-r--r--r--  1 root root 0 Jul  2 20:39 cpuset
lrwxrwxrwx  1 root root 0 Jul  2 20:39 cwd -> /www/server/panel
-r--------  1 root root 0 Jul  2 20:39 environ
lrwxrwxrwx  1 root root 0 Jul  2 20:39 exe -> /usr/bin/python2.7
dr-x------  2 root root 0 Jul  2 20:34 fd
dr-x------  2 root root 0 Jul  2 20:39 fdinfo
-rw-r--r--  1 root root 0 Jul  2 20:39 gid_map
-r--------  1 root root 0 Jul  2 20:39 io
-r--r--r--  1 root root 0 Jul  2 20:39 limits
-rw-r--r--  1 root root 0 Jul  2 20:39 loginuid
dr-x------  2 root root 0 Jul  2 20:39 map_files
-r--r--r--  1 root root 0 Jul  2 20:39 maps
-rw-------  1 root root 0 Jul  2 20:39 mem
-r--r--r--  1 root root 0 Jul  2 20:39 mountinfo
-r--r--r--  1 root root 0 Jul  2 20:39 mounts
-r--------  1 root root 0 Jul  2 20:39 mountstats
dr-xr-xr-x  5 root root 0 Jul  2 20:39 net
dr-x--x--x  2 root root 0 Jul  2 20:39 ns
-r--r--r--  1 root root 0 Jul  2 20:39 numa_maps
-rw-r--r--  1 root root 0 Jul  2 20:39 oom_adj
-r--r--r--  1 root root 0 Jul  2 20:39 oom_score
-rw-r--r--  1 root root 0 Jul  2 20:39 oom_score_adj
-r--r--r--  1 root root 0 Jul  2 20:39 pagemap
-r--------  1 root root 0 Jul  2 20:39 patch_state
-r--r--r--  1 root root 0 Jul  2 20:39 personality
-rw-r--r--  1 root root 0 Jul  2 20:39 projid_map
lrwxrwxrwx  1 root root 0 Jul  2 20:39 root -> /
-rw-r--r--  1 root root 0 Jul  2 20:39 sched
-r--r--r--  1 root root 0 Jul  2 20:39 schedstat
-r--r--r--  1 root root 0 Jul  2 20:39 sessionid
-rw-r--r--  1 root root 0 Jul  2 20:39 setgroups
-r--r--r--  1 root root 0 Jul  2 20:39 smaps
-r--r--r--  1 root root 0 Jul  2 20:39 stack
-r--r--r--  1 root root 0 Jul  2 20:34 stat
-r--r--r--  1 root root 0 Jul  2 20:39 statm
-r--r--r--  1 root root 0 Jul  2 20:34 status
-r--r--r--  1 root root 0 Jul  2 20:39 syscall
dr-xr-xr-x 13 root root 0 Jul  2 20:39 task
-r--r--r--  1 root root 0 Jul  2 20:39 timers
-rw-r--r--  1 root root 0 Jul  2 20:39 uid_map
-r--r--r--  1 root root 0 Jul  2 20:39 wchan

272683793 · 发表于 2018-7-2 21:06:01

本帖最后由 272683793 于 2018-7-2 21:17 编辑

[root@kvm ~]# netstat -atunlp
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address          Foreign Address       State    PID/Program name
tcp       0    0 0.0.0.0:443          0.0.0.0:*             LISTEN    888/nginx: master p
tcp       0    0 0.0.0.0:3306          0.0.0.0:*             LISTEN    1600/mysqld
tcp       0    0 0.0.0.0:80             0.0.0.0:*             LISTEN    888/nginx: master p
tcp       0    0 0.0.0.0:21             0.0.0.0:*             LISTEN    847/pure-ftpd (SERV
tcp       0    0 0.0.0.0:8888          0.0.0.0:*             LISTEN    919/python
tcp       0    0 0.0.0.0:888          0.0.0.0:*             LISTEN    888/nginx: master p
tcp       0    0 127.0.0.1:25          0.0.0.0:*             LISTEN    1280/master
tcp       0    0 0.0.0.0:22969          0.0.0.0:*             LISTEN    788/sshd
tcp       0 376197  **************:8888    45.79.165.248:60634    ESTABLISHED 919/python
tcp       0 376197  **************:8888    139.162.179.70:58866 ESTABLISHED 919/python
tcp       0 376197  **************:8888    45.79.165.248:60636    ESTABLISHED 919/python
tcp       0 376197  **************:8888    45.79.165.248:60640    ESTABLISHED 919/python
tcp    82    0  **************:8888    45.79.165.248:60638    ESTABLISHED 919/python
tcp       0 376197  **************:8888    139.162.179.70:58868 ESTABLISHED 919/python
tcp       0  31930  **************:8888    139.162.179.70:58874 ESTABLISHED 919/python
tcp       0 376197  **************:8888    45.79.165.248:60632    ESTABLISHED 919/python
tcp       0    0  **************:36436 162.219.124.176:35601 ESTABLISHED 848/python
tcp       0 376197  **************:8888    139.162.179.70:58870 ESTABLISHED 919/python
tcp       0 376197  **************:8888    139.162.179.70:58872 ESTABLISHED 919/python
tcp       0    52  **************:22969 **************:63764    ESTABLISHED 1809/sshd: root@pts
tcp6    0    0 :::21                :::*                   LISTEN    847/pure-ftpd (SERV
tcp6    0    0 ::1:25                :::*                   LISTEN    1280/master
tcp6    0    0 :::22969             :::*                   LISTEN    788/sshd
udp       0    0 127.0.0.1:323          0.0.0.0:*                         431/chronyd
udp6    0    0 ::1:323                :::*                               431/chronyd

272683793 · 发表于 2018-7-2 21:19:04

272683793 · 发表于 2018-7-2 21:24:09

272683793 · 发表于 2018-7-2 21:26:24

272683793 · 发表于 2018-7-2 21:44:13

更换端口后流量马上降下来了。
[root@kvm ~]# echo '8881' > /www/server/panel/data/port.pl && /etc/init.d/bt restart
Stopping Bt-Tasks... done
Stopping Bt-Panel... done
Starting Bt-Panel... done
Starting Bt-Tasks... done

272683793 · 发表于 2018-7-2 21:46:06

再上两张图

nilkkk · 发表于 2018-7-2 22:08:28

272683793 发表于 2018-7-2 21:44
更换端口后流量马上降下来了。
[root@kvm ~]# echo '8881' > /www/server/panel/data/port.pl && /etc/init ...

更换ssh端口？

272683793 · 发表于 2018-7-2 22:35:40

nilkkk 发表于 2018-7-2 22:08
更换ssh端口？

面板8888端口

良哥 · 发表于 2018-7-3 01:00:26

您好，近期我们发现有人专门针对宝塔面板或其它使用8888端口的项目做了弱口令暴破工具，您遇到的情况基本可以确定是被扫描器暴破所致，被扫描暴破时会导致面板进程开销和带宽开销增加。
我们会在下一版本中加强防扫描和防暴破功能
另外：39000-40000是FTP的被动模式端口，如果您只使用主动模式连接FTP，可以将这个端口范围的放行删除。

临时解决方案：
1、修改默认面板端口和默认SSH端口(有安全组的记得放行新端口，否则会导致面板无法访问)
2、修改面板默认用户和密码

frozen027 · 发表于 2018-7-3 01:59:08

本帖最后由 frozen027 于 2018-7-3 03:50 编辑

良哥发表于 2018-7-3 01:00
您好，近期我们发现有人专门针对宝塔面板或其它使用8888端口的项目做了弱口令暴破工具，您遇到的情况基本可 ...

方法有效，谢谢！
只是有些不解，那对方是利用什么进行发包的呢？

frozen027 · 发表于 2018-7-3 03:49:58

frozen027 发表于 2018-7-3 01:59
方法有效，谢谢！
只是有些不解，宝塔生成的字符密码为何能迅速爆破？

那对方是利用什么进行发包的呢？

良哥 · 发表于 2018-7-3 10:05:44

frozen027 发表于 2018-7-3 03:49
那对方是利用什么进行发包的呢？

宝塔是使用HTTP服务，只要有人访问面板登陆页面，就会有上行流量，
如果你使用抓包工具去分析报文，会发现，所有包都是http

█菠萝云买2送1活动！12G内存99元	A2招租，联系qq394030111	A3招租，联系qq394030111	香港CN2物理机8核32G，398元/月	【UStat】免费易用的网站分析平台
高防服务器，无视一切流量攻击	【阿里云】宝塔一键部署，低至5折	香港站群金牌Gold 6138大促销	【阿里云】宝塔一键部署，低至5折	OV/EV SSL证书，可当日签发
█ 易探云·香港/美国vps仅9元 █	▶CPS云◀海外大带宽vps服务器	OV/EV SSL证书，可当日签发	【云防护】专注域名和网站安全防护	【UStat】免费易用的网站分析平台

【官方已回应】宝塔面板疑似被批量弱口令扫描

浏览过的版块