【寶塔官方公告】關於外傳寶塔面板或nginx異常的公告

來源：寶塔官方論壇

當前有個別用戶反饋被掛馬的情況，我司立即組織技術團隊跟進排查，經過2天的緊急排查，暫未發現nginx以及面板的安全漏洞，也沒有大規模出現被掛馬的情況;經分析，此木馬主要行為是篡改nginx主程式，以達到篡改網站響應內容。目前累計收到10個用戶反饋網站被掛馬，均為境外伺服器，我們繼續全力跟進和協助用戶排查nginx掛馬情況，直到溯源出結果。如有nginx被掛馬情況，請聯繫我們，我們免費處理跟進解決。

關於網上誤傳nginxbak文件為木馬的說明：

nginxbak文件是當在面板更新nginx時，面板會自動備份一份nginxbak文件，防止更新出現異常後無法進行恢復如之前的nginx版本為1.22.0，如果在面板點擊更新，更新至1.22.1，就會備份一份1.22.0的主程式文件為nginxbak，同時文件大小不一致的話，是因為安裝方式的不同，極速安裝包的安裝大小一般都為5m，編譯方式安裝的大小大約為10m以上，而更新走的是編譯方式更新。以上nginxbak並非掛馬文件。

下面是目前已知木馬特徵：
明顯現象：訪問自己的網站跳轉到其他非法網站
如果出現了上面的現象，排查是否符合下面的特徵
1、使用無痕模式訪問目標網站的js文件，內容中包含：_0xd4d9 或 _0x2551 關鍵詞的
2、面板日誌、系統日誌都被清空過的
3、/www/server/nginx/sbin/nginx 被替換的，或者存在/www/server/nginx/conf/btwaf/config 文件的
4、*期安裝的nginx存在/www/server/panel/data/nginx_md5.pl 文件，可與現有文件進行比較確認是否被修改（nginx_md5.pl文件是我們用來記錄上一次安裝nginx時的md5值，如果您的網站異常了，可以打開這個文件跟現在的/www/server/nginx/sbin/nginx文件md5做對比）

不確定是否符合？下面的命令可以自行排查，如果命令執行有輸出內容說明伺服器已經異常，請及時寶塔官方

curl -sso http://download.bt.cn/tools/w_check.py&&btpython w_check.py&& rm -rf w_check.py

另外，未出現異常問題正常使用的用戶，我們給出加固建議，如果您擔心面板存在風險，可以登錄終端執行bt stop命令停止面板服務(開啟服務命令是bt restart)，停止面板服務不會影響您網站的正常運行。

其次，寶塔面板中可以做出下面的措施進行網站、面板、伺服器加固
1、升級面板到最新版，已經是最新版的，在首頁修復面板，並開啟basicauth認證
2、nginx升級到當前主版本號的最新子版本，如1.22.0升級到1.22.1，已經是最新版的，請卸載重裝
3、因生產需要暫時無法升級面板或nginx的，開啟basicauth認證，有條件的設置授權ip
5、【企業版防篡改-重構版】插件可以有效防止網站被篡改，建議開啟並設置root用戶禁止修改文件（需要使用時再放開），另外，將nginx關鍵執行目錄（/www/server/nginx/sbin）鎖住
6、【寶塔系統加固】插件中的【關鍵目錄加固】功能，可以將nginx關鍵執行目錄（/www/server/nginx/sbin）鎖住，此目錄在正常使用中不會有任何修改的行為，除了重裝以外其他修改行為均可視為被篡改，所以將它鎖上。