感觉对方跳板机应该是台win鸡 我看了很多帖子以及我自己被入侵的的也都是这个ip
检查宝塔是否被黑命令
curl -sSO -k https://download.bt.cn/tools/w_check.py && btpython w_check.py && rm -rf w_check.py
此次漏洞宝塔开二验没任何作用 要么屏蔽国外ip开始面板ssl或者指定ip登陆 个人建议先停用面板
黑客跳板机ip 45.77.54.150:60634
以及 45.77.0.0/24 段 大家可以ban了(没被黑的或者被黑的 都把他ban了 虽然知道对方不止一个IP 但是防备一下)
目前我的宝塔有3台被入侵 黑客会把面板操作日志清空!
有能力的大佬可以把这个ip DD下
奇怪的是我的网站没发现js以及h站跳转 不知你们的是怎么跳转 手里还是pc端 我的2只鸡都被后入了 就这两天 有一只是发帖前刚刚被入侵 已经联系了宝塔官方 技术员也不知怎么后入的
有图有真相
我擦 论坛为何使用图片ubb会拦截
热议
推荐楼 没有的 前天23:37
我也被黑了,几百个比特币不见了
推荐楼 怪人 昨天01:35
蒂姆·库克 发表于 2022-12-12 22:41
我所有aapanel都删鸡了,重装系统了,打算装个命令行面板的nginx
啊,用aapanel1.0有事吗
推荐楼 imslc 前天23:51
宝塔这么差劲么,两天了还没找到漏洞?
2楼 蒂姆·库克 前天22:41
我所有aapanel都删鸡了,重装系统了,打算装个命令行面板的nginx
3楼 HOH 前天22:43
/var/tmp/systemd-private-56d86f7d8382402517f3b51625789161d2cb-chronyd.service-jP37av
/var/tmp/systemd-private-56d86f7d8382402517f3b5-jP37av
/tmp/systemd-private-56d86f7d8382402517f3b5-jP37av
/var/tmp/count
/var/tmp/count.txt
/var/tmp/backkk
/var/tmp/msglog.txt
4楼 lz2xg 前天22:44
自己改文件PJ的7.7检查没有被黑,不知道是不是启用面板SSL的原因
5楼 hanweizhe 前天22:45
HOH 发表于 2022-12-12 22:43
/var/tmp/systemd-private-56d86f7d8382402517f3b51625789161d2cb-chronyd.service-jP37av
/var/tmp/system ...
你也凉了
6楼 hanweizhe 前天22:46
lz2xg 发表于 2022-12-12 22:44
自己改文件PJ的7.7检查没有被黑,不知道是不是启用面板SSL的原因
不是没扫到你就是ssl限制了他的登录
7楼 net909 前天23:22
这种被入侵的只能重装系统,因为不确定还有没有留其他木马。没被入侵的只能暂时bt stop保平安了
8楼 1073 前天23:30
大佬,宝塔5.9系列的会被黑吗
9楼 acpp 前天23:36
Nginx 日志也没了?
12楼 louiejordan 前天23:52
宝塔这么差劲么,两天了还没找到漏洞?
13楼 Agoni 昨天00:05
一直不用宝塔 都是命令行嗦
14楼 hacn 昨天00:07
早点投靠lnmp吧
15楼 怪人 昨天01:35
蒂姆·库克 发表于 2022-12-12 22:41
我所有aapanel都删鸡了,重装系统了,打算装个命令行面板的nginx
啊,用aapanel1.0有事吗
16楼 kimigao 昨天01:43
还好五台机器都没事。。
17楼 wange008 昨天04:39
介于目前状况开心版居然没被后入,猜想是不是有宝塔被爆破的可能。被后入的统计一下ssh端口改了没
18楼 mobanzhizuo 昨天08:13
这种被入侵的只能重装系统,因为不确定还有没有留其他木马。没被入侵的只能暂时bt stop保平安了 ...
我就是被入侵后重装系统的,所有安全都做了一遍,昨天看又TM被入侵了, 我怀疑宝塔的安装文件被篡改了加料了
19楼 jacob 昨天11:29
还好用的aapanle没事
20楼 wangjf 昨天11:49
没有检测到 但是也跳诈骗了
22楼 hanweizhe 昨天15:46
wange008 发表于 2022-12-13 04:39
介于目前状况开心版居然没被后入,猜想是不是有宝塔被爆破的可能。被后入的统计一下ssh端口改了没 ...
没动端口 只会异地登录 上传替换劫持文件 清空面板日志 ssh也没日志信息
23楼 hanweizhe 昨天15:53
acpp 发表于 2022-12-12 23:36
Nginx 日志也没了?
没有
24楼 hanweizhe 昨天19:36
imslc 发表于 2022-12-12 23:51
宝塔这么差劲么,两天了还没找到漏洞?
一直没找出漏洞
25楼 hanweizhe 昨天19:38
wange008 发表于 2022-12-13 04:39
介于目前状况开心版居然没被后入,猜想是不是有宝塔被爆破的可能。被后入的统计一下ssh端口改了没 ...
不会改ssh端口
26楼 banker 昨天19:54
不会改ssh端口
宝塔面板安全设置里就可以直接改
27楼 zhujizixun 昨天20:01
宝塔版本号倒是发一下啊
28楼 krazy176 昨天20:03
所以你最终是怎么修复的?把中毒的NGINX删了,把原来的替换回来?
Send by Discuz x Reader
29楼 hanweizhe 昨天22:05
wangjf 发表于 2022-12-13 11:49
没有检测到 但是也跳诈骗了
流量大吗
30楼 hanweizhe 昨天22:06
banker 发表于 2022-12-13 19:54
宝塔面板安全设置里就可以直接改
我说的是黑客不会改ssh信息
32楼 hanweizhe 昨天22:10
zhujizixun 发表于 2022-12-13 20:01
宝塔版本号倒是发一下啊
7.9.5
33楼 wangjf 昨天22:18
流量大吗
我自己的探针和bitwarden。。。。吓得我全删了
34楼 hanweizhe 10小时前
krazy176 发表于 2022-12-13 20:03
所以你最终是怎么修复的?把中毒的NGINX删了,把原来的替换回来?Send by Discuz x Reader ...
对 查杀过程就是 将/tmp目录那几个文件删了,然后重装nginx再检查网站首页是否异常js.有 然后修改面板账户密码 停用面板
35楼 krazy176 半小时前
对 查杀过程就是 将/tmp目录那几个文件删了,然后重装nginx再检查网站首页是否异常js.有 然后修改面板 ...
停用面板也不一定安全,参见这个回复:
https://hostloc.com/forum.php?mo ... 19&pid=13607495
36楼 醋醋来啦 半小时前
介于目前状况开心版居然没被后入,猜想是不是有宝塔被爆破的可能。被后入的统计一下ssh端口改了没 ...
好像被干的都是比较新的版本
37楼 hadami 半小时前
我的10台宝塔开心版,hostcli都没发现问题,莫非是bt官方后门
38楼 zhujizixun 12分钟前
7.9.5
这个就有点新了,不会是中招之后才升级的吧
39楼 aa8 25秒前
我每次装完都会把面板关掉
申明:本文内容由网友收集分享,仅供学习参考使用。如文中内容侵犯到您的利益,请在文章下方留言,本站会第一时间进行处理。
评论前必须登录!
立即登录 注册