近期一直在傳寶塔下nginx漏洞問題 今天寶塔官方給了聲明

先看漏洞說明

【寶塔】面板疑似有未知漏洞，請加固或者停用

具體表現：header中accept字段包含gzip時，網頁被篡改。

插入的JS用來引入了一個新的JS 來跳轉H站。

根因：非網站程序漏洞，nginx程序被篡改。同時寶塔后臺日志被清空

可以觀察以下帖子，猜測7月就開始了，應該是插到nginx的lua里面了，至于怎么插進去的就不知道了

可以肯定是BT+Nginx會觸發，目前已經出現批量站點失陷！

【已解答】最近發現自己服務器nginx被劫持至灰產 - Linux面板 - 寶塔面板論壇 (bt.cn)

https://www.bt.cn/bbs/thread-96727-1-7.html

【疑難】nginx網站站點被劫持 - Linux面板 - 寶塔面板論壇 (bt.cn)

https://www.bt.cn/bbs/thread-104423-1-2.html

【待反饋】我服務器是不是被入侵了 - Linux面板 - 寶塔面板論壇 (bt.cn)

https://www.bt.cn/bbs/thread-105077-1-2.html

【已解答】網站被劫持 - Linux面板 - 寶塔面板論壇 (bt.cn)

https://www.bt.cn/bbs/thread-105023-1-1.html

解決辦法

1.清點資產

2.使用某塔的UU們，請將nginx 暫時先換到apache

原文網址https://www.bt.cn/bbs/thread-105121-1-1.html

當前有個別用戶反饋被掛馬的情況，我司立即組織技術團隊跟進排查，經過2天的緊急排查，暫未發現Nginx以及面板的安全漏洞，也沒有大規模出現被掛馬的情況；經分析，此木馬主要行為是篡改Nginx主程序，以達到篡改網站響應內容。目前累計收到10個用戶反饋網站被掛馬，均為境外服務器，我們繼續全力跟進和協助用戶排查Nginx掛馬情況，直到溯源出結果。
關于網上誤傳nginxBak文件為木馬的說明：
nginxBak文件是當在面板更新nginx時，面板會自動備份一份nginxBak文件，防止更新出現異常后無法進行恢復如之前的nginx版本為1.22.0，如果在面板點擊更新，更新至1.22.1，就會備份一份1.22.0的主程序文件為nginxBak（如下圖）
 
同時文件大小不一致的話，是因為安裝方式的不同，極速安裝包的安裝大小一般都為5M，編譯方式安裝的大小大約為10M以上，而更新走的是編譯方式更新。
以上nginxBak并非掛馬文件。

下面是目前已知木馬特征：
明顯現象：訪問自己的網站跳轉到其他非法網站
如果出現了上面的現象，則是否符合下面的特征
1、使用無痕模式訪問目標網站的js文件，內容中包含：_0xd4d9  或  _0x2551 關鍵詞的
2、面板日志、系統日志都被清空過的
3、/www/server/nginx/sbin/nginx 被替換的，或者存在 /www/server/nginx/conf/btwaf/config 文件的
4、*期安裝的nginx存在 /www/server/panel/data/nginx_md5.pl 文件，可與現有文件進行比較確認是否被修改（nginx_md5.pl文件是我們用來記錄上一次安裝nginx時的md5值，如果您的網站異常了，可以打開這個文件跟現在的/www/server/nginx/sbin/nginx文件md5做對比）


另外，未出現異常問題正常使用的用戶，我們給出加固建議，如果您擔心面板存在風險，可以登錄終端執行bt stop命令停止面板服務(開啟服務命令是bt restart)，停止面板服務不會影響您網站的正常運行。

其次，寶塔面板中可以做出下面的措施進行網站、面板、服務器加固
1、升級面板到最新版，已經是最新版的，在首頁修復面板，并開啟BasicAuth認證
2、nginx升級到當前主版本號的最新子版本，如1.22.0升級到1.22.1，已經是最新版的，請卸載重裝
3、因生產需要暫時無法升級面板或nginx的，開啟BasicAuth認證，有條件的設置授權IP
5、【企業版防篡改-重構版】插件可以有效防止網站被篡改，建議開啟并設置root用戶禁止修改文件（需要使用時再放開），另外，將nginx關鍵執行目錄（/www/server/nginx/sbin）鎖住
6、【寶塔系統加固】插件中的【關鍵目錄加固】功能，可以將nginx關鍵執行目錄（/www/server/nginx/sbin）鎖住，此目錄在正常使用中不會有任何修改的行為，除了重裝以外其他修改行為均可視為被篡改，所以將它鎖上。


如果已經出現明顯掛馬、異常跳轉等問題，可以聯系我免費幫忙處理跟進。
請廣大網友注意，為了節省資源加速對該問題的處理，已經出問題的用戶請聯系我，可以加我的企業微信或者qq直接聯系，沒有出現問題的用戶可以帖子留言，感謝使用寶塔面板。

官方電話：0769-23030556
QQ號：1021266737