今天有个朋友的js都被加了一段劫持代码,经过检查发现实际文件不存在劫持js代码,但是访问有,晚上的时候论坛出现好几例被挂马,数据异常,异地登录的反馈。
下午给url加上随机数,劫持js消失,疑似缓存被篡改,但是原服务器没有安装任何除nginx php mysql之外的插件
检查了nginx配置文件,伪静态,都没能检查出问题。
可以确认就是宝塔的问题,因为朋友的那台机器根本没有任何web篡改的迹象,并且文件检查都是正常的。
官方回复:
感谢反馈,当前有个别用户反馈被挂马的情况,我们正在全力排查中,暂时未发现面板存在有安全漏洞的风险。如果您担心面板存在风险,可以登录终端执行bt stop命令停止面板服务,停止面板服务不会影响您网站的正常运行。
别慌!或许不是漏洞~~
本文共 264 个字数,平均阅读时长 ≈ 1分钟
估计是宝塔官方被黑导致的,昨天新的服务器安装了nginx 默认就是5.xxMB,并且端口都不是默认的,扫描也不会那么快能扫到,除非宝塔自身被黑,每次安装的IP都泄漏给了黑客。
应该是通过NGINX服务器来获取访问的来源 直接访问好像不会跳转和加载,把NGINX去杀毒软件扫描了一下,宝塔运维面板这种对后端的应用肯定会有hash值校验的。
不然直接被篡改不就丢人了