起于小站,终于生活。
现实之外,一个普通人的思考。

博客地址:ygxz.in
讨论组:https://t.me/+a5Clq4jLuJc4YWQ9
#宝塔

宝塔疑似再次出现代码注入漏洞

有网友发现宝塔可能再次出现了一种旧漏洞的新变体,具体表现为 JavaScript 代码被注入到网页中,在手机访问时自动跳转色情网站。此漏洞可能影响使用任意版本宝塔面板的所有 Nginx 站点。

不同于去年 12 月的同类事件,新的变体似乎更为复杂和隐蔽。所有受影响的网站在手机浏览器访问时都被添加了一个名为“bootstrap_v10.js”的 JavaScript 文件。然而,在服务器端的网页源代码中,这个 JS 文件却无法被找到。

此恶意文件的意图似乎在于劫持搜索引擎来路流量,中招后搜索引擎的收录内容会变为恶意网站的内容。

目前的解决方案是重新安装Nginx,但几天后该JS文件可能会再次出现。

恶意 JS 文件特征:
</head>处插入 https://ccliy.kasiklz.cc/js/bootstrap_v10.js

目前宝塔官方论坛已有 多名用户 报告受影响。

——————
更新:

有网友补充,只在首次通过搜索引擎进入网站时会跳转恶意网站,直接打开网页并不会触发恶意 JS。

有中招的网友在服务器的 /var/tmp/ 和 /tmp 目录中发现了 systemd-private-开头的疑似恶意文件。
有网友表示此为正常文件
 
 
Back to Top