以下文章来源于WIN哥学安全 ，作者WIN哥

WIN哥学安全 .

关注红蓝对抗、Web安全、物联网安全、安全工具、渗透测试、安全开发、安全标准与优质内容分享

漏洞预警：宝塔面板疑似出现高危漏洞

昨晚19时起，大量使用宝塔面板的网站被挂马，疑似面板出现高危漏洞。

0x01 漏洞情况

官方目前并没有发补相关补丁等信息。

漏洞预警：漏洞尚未得到确认，请自行分辨真伪。

风险等级：极高

影响版本：7.9.6及以下且使用Nginx的用户

处置建议：停止使用BT面板且切换Apache

宝塔官方建议暂停面板 

排查方式: /www/server/nginx/sbin/

1. Nginx 11.80 MB

2. NginxBak 4.55 MB [木马]

3. Nginx 4.51MB [木马]

特征: 

1. 4.51MB

2. 时间近期

3. Nginx＆NginxBAK 双文件

入侵者通过该漏洞拥有 root 权限，受限于面板高权限运行，修改宝塔各种账号密码+ SSH 账号密码均为无效。入侵者可以修改Nginx配置文件+数据库文件+网站根目录文件。

站点可能出现大量日志，同时CPU异常占用，

暂不清楚漏洞点，切勿随意点击清除日志按钮。

注: 大量新装用户反馈出现挂马，

目前BT官方源可能出现问题，建议暂停安装。

补充信息：

bb.tar.gz 为上马日志，上马记录操作日志。

恶意文件：

systemd-private-56d86f7d8382402517f3b5-jP37av

路径：/tmp/

0x02 漏洞情况

来自LOC的榆木老哥

具体表现：header中accept字段包含gzip时，网页被篡改。

插入的JS用来引入了一个新的JS 来跳转H站。

根因：非网站程序漏洞，nginx程序被篡改。同时宝塔后台日志被清空。

0x03 观察&猜测

可以观察以下帖子，猜测7月就开始了，应该是插到nginx的lua里面了，至于怎么插进去的就不知道了

可以肯定是BT+Nginx会触发，目前已经出现批量站点失陷！

【已解答】最近发现自己服务器nginx被劫持至灰产 - Linux面板 - 宝塔面板论坛 (bt.cn)

https://www.bt.cn/bbs/thread-96727-1-7.html

【疑难】nginx网站站点被劫持 - Linux面板 - 宝塔面板论坛 (bt.cn)

https://www.bt.cn/bbs/thread-104423-1-2.html

【待反馈】我服务器是不是被入侵了 - Linux面板 - 宝塔面板论坛 (bt.cn)

https://www.bt.cn/bbs/thread-105077-1-2.html

【已解答】网站被劫持 - Linux面板 - 宝塔面板论坛 (bt.cn)

https://www.bt.cn/bbs/thread-105023-1-1.html

0x04 解决办法

1.清点资产

2.使用某塔的UU们，请将nginx 暂时先换到apache

0x05 恶意文件

 systemd-private-56d86f7d8382402517f3b5-jP37av

路径：/tmp/

0x06  木马样本

链接：https://pan.quark.cn/s/b2152bf1d429提取码：gsDX

0x07 参考

https://mp.weixin.qq.com/s/-2Ho8HVG8VdCmeZyr8Zhrwhttps://www.bt.cn/new/download.htmlhttps://mp.weixin.qq.com/s/CYNl1bJOn3Znn2UCySwhPw

关于文章/Tools获取方式:请关注交流群或者知识星球。

关于交流群：因为某些原因，更改一下交流群的获取方式

1. 请点击联系我们->联系官方->客服小助手添加二维码拉群 。  
   

关于知识星球的获取方式

1. 后台回复发送 "知识星球"，即可获取知识星球二维码。不定时发送免费名额。

2. 如若上述方式不行，请点击联系我们->联系官方->客服小助手添加二维码进入星球 。  
   

免责声明

        

本公众号文章以技术分享学习为目的。

由于传播、利用本公众号发布文章而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号及作者不为此承担任何责任。

一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！