Краткое описание проблемы

Сообщения на форуме

www.bt.cn/bbs/thread-… www.bt.cn/bbs/thread-… hostloc.com/thread-1111…

База данных была удалена по необъяснимым причинам.

www.bt.cn/bbs/thread-…

Следующий контент получен из сообщений друзей группы:

Краткий отчет: предположительно на панели Pagoda появилась новая уязвимость высокого риска, и произошло крупномасштабное вторжение.

• Затронутая версия: 7.9.6 и ниже. Уровень риска: чрезвычайно высокий. Предложение по утилизации: прекратить использование панели BT [официальная рекомендация Baota — приостановить работу панели]
• 并非Nginxвопрос,Apache同样Ударять 初步猜测вопрос应该是**Аутентификация панели**вопрос

это тот же JavaScript

Благодаря этой уязвимости злоумышленник имеет root-права и ограничен работой панели с высокими привилегиями. Изменение различных паролей учетных записей + паролей учетных записей SSH в Pagoda будет недействительным.

Злоумышленники могут изменитьnginxКонфигурациядокумент+база данныхдокумент+веб-сайткорень Оглавлениедокумент

На сайте может быть большое количество логов и ненормальная загрузка ЦП. Точка уязвимости пока не ясна. Не нажимайте кнопку очистки журнала по своему желанию.

Примечание. Большое количество новых пользователей сообщили о вредоносном ПО. В настоящее время могут возникнуть проблемы с официальным источником BT. Рекомендуется приостановить установку.

Особенности:

1. nginx 4.51 МБ[Троянский конь] nginxBak 4.55 МБ[Троянский конь]
2. Время близко
3. Очищено ли бревно
4. существует bb.tar.gz Этот журнал операций и и Недавно изменено nginx 4.51 MB документ Почти нет разницы во времени
5. Проверять/tmp/ под существует systemd-private-56d86f7d8382402517f3b5-jP37av （повесить лошадьдокумент）

Подробности смотрите на картинке ниже и Образец висячей лошади документ：nginx 4.51 MB (Другие размеры не учитываются) документ：systemd-private-56d86f7d8382402517f3b5-jP37av

В настоящее время нет возможности воспроизвести это, я видел только одного человека. bb.tar.gz Этот журнал операций и Недавно изменено nginx 4.51 MB документ Почти нет разницы во времени Журналы всех остальных удалены

Временное решение:

• выключательnginxВерсия взгляни nginxдокумент Стоит ли менять
• удалить /tmp/systemd-private-56d86f7d8382402517f3b5-jP37av
• Изменить имя пользователя и пароль панели Закрыть панель bt stop
• Установить плагин: мониторинг документов Мониторить 3 дня. /www/server/nginx/sbin и /tmp Оглавление взгляни

Ниже приводится случай повешения лошади. Сравнение двух людей, которые были повешены документпоследовательный.

повесить лошадьдокумент

Подделанный Nginx

Подделанный Nginx

Записи о верховой езде не были удалены, а время модификации Nginx соответствует.

Ударятьвеб-сайт

повесить лошадьдокументсодержание

Официальное объявление пагоды

адрес：Объявление о панели Gaiden Pagoda или Nginxаномальный

В настоящее время некоторые пользователи сообщили о взломе.,Наша компания немедленно организовала техническую команду для отслеживания и расследования.,Спустя 2 дня экстренного расследования,Еще не найденNginxи безопасность панели.лазейки,Масштабных случаев зависаний после анализа нет;,Основное поведение этого трояна – вмешательство вNginxосновная программа,В целях вмешательства в ответное содержимое веб-сайта. На данный момент мы получили всего 10 отзывов пользователей о том, что веб-сайт был взломан.,Все это зарубежные серверы,Мы продолжим внимательно следить за ситуацией и помогать пользователям в устранении неполадок.Nginxповесить лошадь情况,Пока не появятся результаты прослеживаемости.

Об онлайн-трансляцииNginxдокумент Описание трояна： nginxBakдокументэто когда панель обновляетсяnginxчас,Панель автоматически сделает резервную копиюnginxBakдокумент,Запретить появление обновленийаномальный Невозможно восстановить как раньшеnginxВерсиядля1.22.0,Если вы нажмете Обновить на панели,Обновлено до 1.22.1,Сделаю резервную копию1.22.0изосновная программадокументдляnginxBak（Как показано ниже）

В то же время, если размер документа не соответствует,Это из-за разных способов установки.,Размер установки пакета быстрой установки обычно составляет 5M.,编译方式安装из大Маленький大约для10MВот и все,Обновление основано на методе компиляции. Вот и всеnginxBak并非повесить лошадьдокумент。

На данный момент известны следующие характеристики трояна: Очевидный феномен: посещение вашего собственного веб-сайта приведет к переходу на другие нелегальные веб-сайты. Если вышеупомянутое явление имеет место, соответствует ли оно следующим характеристикам? 1、Используйте режим инкогнито для доступа к целивеб-сайтизjsдокумент,содержание中包含：_0xd4d9 или _0x2551 ключевые слова 2. Журналы панели и системные журналы очищены. 3、/www/server/nginx/sbin/nginx То, что заменено, существует /www/server/nginx/conf/btwaf/config документиз 4、*期安装изnginxсуществовать /www/server/panel/data/nginx_md5.pl документ,Можетисуществующийдокумент Сравните, чтобы подтвердить, было ли оно изменено（nginx_md5.plдокумент Он используется нами для записи последней установкиnginxчасизmd5ценить,Если ваш веб-сайтаномальный,Может以打开这个документ跟现在из/www/server/nginx/sbin/nginxдокументmd5провести сравнение）

кроме того,Пользователи, которые используют его нормально, без аномальных проблем,Даем предложения по усилению,Если вас беспокоят риски, связанные с панелями,Может以登录终端执行bt stopКоманда остановки службы панели(Команда для запуска службы:bt restart),Остановка службы панели не повлияет на нормальную работу вашего веб-сайта.

Во-вторых, в панели Pagoda можно принять следующие меры для усиления веб-сайта, панели и сервера. 1. Обновите панель до последней версии.,Уже последняя версия,Панель ремонта на главной странице,и включиBasicAuthСертификация 2、nginxобновить до当前主Версия号из最新子Версия,нравиться1.22.0обновить до1.22.1,Уже последняя версия,Пожалуйста, удалите и переустановите 3、因生产需要暂час无法升级面板илиnginxиз,включатьBasicAuthСертификация,有条件из设置授权IP 5、【Версия Enterprise Edition с защитой от несанкционированного доступа-Рефакторинговая версия】插件Может以有效防止веб-сайтподделан,Рекомендуется включить и настроить пользователя root, чтобы запретить изменение документа (при необходимости отпустите его).,кроме того,Воляnginxключевое исполнение Оглавление（/www/server/nginx/sbin）замок 6、【Усиление системы пагод】插件中из【ключ Оглавление Армирование】Функция,Может以Воляnginxключевое исполнение Оглавление（/www/server/nginx/sbin）замок,Это Оглавление не будет иметь никаких изменений в поведении при обычном использовании.,Помимо переустановки, вмешательством могут быть расценены и другие модификации.,Так что запри его.

Если возникли такие проблемы, как явное зависание лошади или ненормальные прыжки, вы можете связаться с официальным лицом, чтобы бесплатно помочь с последующими действиями.