全球主机交流论坛

标题: 宝塔nginx给挂马 [打印本页]

作者: Apian 时间: 2025-6-27 22:15
标题: 宝塔nginx给挂马
debian12，就安装了宝塔 nginx1.26，好像是极速安装，然后就搞了一些反代，因为才用没多久，也有SSH和面板登录监控，日志也都看了没啥异常，但是其中某个站点下载附件.docx和.pdf等的时候（要手机或者浏览器模拟手机），会跳转到XX，开始以为后端服务器问题，但是直接把域名指向后端，并没有任何问题，套CF也没任何问题，于是就怀疑到了这台nginx服务器，于是重新编译安装了nginx1.28，恢复。。。。
这台服务器什么都没有，很干净的机器，就nginx反代，因为域名比较多，就用了宝塔，没想到。。。大家都排查一下吧。。。

作者: 农夫山泉 时间: 2025-6-27 22:19
难道又出漏洞啦？？不愧是bug塔

作者: haul 时间: 2025-6-27 22:20
有需要穿墙CDN可以联系我，过移动墙敏感地区墙国内节点域名不用北岸也可以访问80 443哦

作者: Apian 时间: 2025-6-27 22:30

农夫山泉发表于 2025-6-27 22:19
难道又出漏洞啦？？不愧是bug塔

我估计不是宝塔的漏洞，可能是他的安装源nginx包被挂了，或者他们自己。。。。因为没有看到nginx文件有变更过，日期也是安装的日期，都对应得上，重新编译安装了1.28就OK了

作者: fۣۖ༒ۣfۣۖ 时间: 2025-6-27 22:47
你换啥都挂。
跟NGINX没关系。
宝塔的后门

作者: 笑花落半世琉璃 时间: 2025-6-27 22:50
部署完应用：

bt stop

复制代码

需要使用面板时：

bt start

复制代码

作者: Ninja 时间: 2025-6-27 23:07
说实话我也遇到了很多次，我进行了完整的数据分析，结论是：nginx 反代开了缓存，然后黑客利用缓存漏洞对你缓存得文件内容植入广告js，比如你的静态页面图片内容都会植入广告js，
开始我以为服务器被黑各种找原因，后来又分析是不是机房被入侵，再后来我在nginx缓存中找到了首页加载的一些图片被之注入了js！

作者: 夜朦心漓 时间: 2025-6-27 23:11

Ninja 发表于 2025-6-27 23:07
说实话我也遇到了很多次，我进行了完整的数据分析，结论是：nginx 反代开了缓存，然后黑客利用缓存漏洞对 ...

nginx 关闭反代缓存可以解决这个问题吗？

作者: 奧巴马 时间: 2025-6-27 23:15

Ninja 发表于 2025-6-27 23:07
说实话我也遇到了很多次，我进行了完整的数据分析，结论是：nginx 反代开了缓存，然后黑客利用缓存漏洞对 ...

表示nginx的缓存机制是安全的！否则这么大网站在用早就死了，且nginx开源，每一份代码可审计！有问题早就有人说了！主要是nginx代码量不大，简单！逻辑单一！

作者: 盖茨 时间: 2025-6-27 23:18

Ninja 发表于 2025-6-27 23:07
说实话我也遇到了很多次，我进行了完整的数据分析，结论是：nginx 反代开了缓存，然后黑客利用缓存漏洞对 ...

那问题来了，这个缓存漏洞是Nginx的？

作者: Ninja 时间: 2025-6-27 23:35

夜朦心漓发表于 2025-6-27 23:11
nginx 关闭反代缓存可以解决这个问题吗？

是可以，但是源站负荷大，只能隐藏源站ip的作用了！
目前想缓存有两种方式：

1.nginx配置中添加缓存验证机制

2.启动缓存签名验证
不会可以ai下！

作者: Ninja 时间: 2025-6-27 23:40

奧巴马发表于 2025-6-27 23:15
表示nginx的缓存机制是安全的！否则这么大网站在用早就死了，且nginx开源，每一份代码可审计！有问题早就 ...

nginx 缓存肯定有漏洞，我发现三起案例都是，都是在nginx 缓存目录下找到的，他的网站并没有那个js代码，这个怎么解释？

作者: 奧巴马 时间: 2025-6-27 23:52

Ninja 发表于 2025-6-27 23:40
nginx 缓存肯定有漏洞，我发现三起案例都是，都是在nginx 缓存目录下找到的，他的网站并没有那个js代码， ...

我感觉不太可能,nginx的代码我还真修改过. 他的缓存逻辑就是,下载下来,然后保存. 没有任何.就是一个代理.怎么个漏洞法? 实在想不通.

你不如想想是不是后门塔改了你的缓存文件.或者其它什么木马改的.

nginx 的源代码在https://nginx.org/
你可以自己下载下来看. 有关于缓存的代码不到1000行.

作者: zhongchen 时间: 2025-6-28 00:02
换成APACHE就好了。。BT AAPLANE的NGINX极速安装还是编译安装。都会出现同样的问题。

作者: Wine 时间: 2025-6-28 00:45
宝塔的问题还是安装源的问题。

作者: 盖茨 时间: 2025-6-28 01:36

Ninja 发表于 2025-6-27 23:40
nginx 缓存肯定有漏洞，我发现三起案例都是，都是在nginx 缓存目录下找到的，他的网站并没有那个js代码， ...

怕不是通过宝塔的bug，向缓存投毒，根本就不是Nginx自身的bug。

作者: begin 时间: 2025-6-28 01:51

Ninja 发表于 2025-6-27 23:40
nginx 缓存肯定有漏洞，我发现三起案例都是，都是在nginx 缓存目录下找到的，他的网站并没有那个js代码， ...

不太可能,最可能是回源时后端被劫持了,例如 ARP 欺骗（ARP Spoofing）：这是局域网劫持中常见的一种技术，攻击者通过发送伪造的 ARP（地址解析协议）消息，将自己的 MAC 地址与目标 IP 地址绑定，从而使网络流量被重定向到攻击者的设备。

作者: Apian 时间: 2025-6-28 08:26

Ninja 发表于 2025-6-27 23:07
说实话我也遇到了很多次，我进行了完整的数据分析，结论是：nginx 反代开了缓存，然后黑客利用缓存漏洞对 ...

关键是我没有开缓存，因为是内网互通，项目也不能开缓存，所以。。。。

作者: MSN 时间: 2025-6-28 08:59

zhongchen 发表于 2025-6-27 09:02
换成APACHE就好了。。BT AAPLANE的NGINX极速安装还是编译安装。都会出现同样的问题。 ...

APACHE不会被挂吗

作者: adam8888 时间: 2025-6-28 09:28
装了几百台宝塔都没遇到过

作者: iks 时间: 2025-6-28 12:39
本帖最后由 iks 于 2025-6-28 12:43 编辑

为什么不包安装 nginx 呢？

# apt show nginx
Package: nginx
Version: 1.28.0-1~bookworm
Priority: optional
Section: httpd
Maintainer: NGINX Packaging <[email protected]>
Installed-Size: 3,570 kB
Provides: httpd, nginx, nginx-r1.28.0
Depends: libc6 (>= 2.34), libcrypt1 (>= 1:4.1.0), libpcre2-8-0 (>= 10.22), libssl3 (>= 3.0.0), zlib1g (>= 1:1.1.4), lsb-base (>= 3.0-6)
Recommends: logrotate
Conflicts: nginx-common, nginx-core
Replaces: nginx-common, nginx-core
Homepage: https://nginx.org
Download-Size: 967 kB
APT-Manual-Installed: yes
APT-Sources: http://nginx.org/packages/debian bookworm/nginx arm64 Packages
Description: high performance web server
nginx [engine x] is an HTTP and reverse proxy server, as well as
a mail proxy server.

复制代码

作者: 小学生 时间: 2025-6-28 12:48
宝塔开心版没遇到你这个问题

作者: zhongchen 时间: 2025-6-28 23:07

MSN 发表于 2025-6-28 08:59
APACHE不会被挂吗

反正换了。没试过

作者: zhongchen 时间: 2025-6-28 23:51
本帖最后由 zhongchen 于 2025-6-29 00:50 编辑

作者: woliwan 时间: 2025-6-29 08:18
你们以为宝塔很干净的公司啊，不和51.统计差不多

作者: MSN 时间: 2025-6-29 16:41

woliwan 发表于 2025-6-28 17:18
你们以为宝塔很干净的公司啊，不和51.统计差不多

跟桥本香菜一样单纯吗

欢迎光临全球主机交流论坛 (https://hostloc-workers.ikyomon.com/)