V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
cjbi
V2EX  ›  程序员

服务器装了宝塔面板貌似被攻击了

  •  
  •   cjbi ·
    cjbi · 2023-01-30 17:55:47 +08:00 · 5144 次点击
    这是一个创建于 423 天前的主题,其中的信息可能已经有所发展或是发生改变。

    今天有人反馈网站进不去,就想 SSH 连上服务器看一下,发现 SSH 也进不去。

    于是提工单让华为云那边找找原因,华为云工程师说这台服务器涉及对外攻击行为,就给冻结了

    目前,工程初步排查,发现 python3 这个进程有大量请求到国外服务器,这个端口是给宝塔面板用的。

    不知道大家有没有遇到和我一样的情况。

    网上查了一下,貌似不是个例 https://www.prkblog.cn/p/bt-202212.html?replytocom=335

    28 条回复    2023-02-02 06:28:30 +08:00
    Byzliu
        1
    Byzliu  
       2023-01-30 18:03:08 +08:00   ❤️ 1
    备份一下网站重装吧,要用宝塔不要用默认端口,改个冷门端口,或者用别的开源的面板。
    INTEL2333
        2
    INTEL2333  
       2023-01-30 19:01:21 +08:00 via Android
    @Byzliu 宝塔随机端口好久了
    GeruzoniAnsasu
        3
    GeruzoniAnsasu  
       2023-01-30 19:06:46 +08:00
    @Byzliu
    网站没套 CDN 挡真实 IP ,扫一次端口只需要 5 分钟
    kksd0912334
        4
    kksd0912334  
       2023-01-30 19:11:56 +08:00   ❤️ 6
    干运维的不理解为什么有人会用宝塔?一个 nginx 都搞不定吗
    documentzhangx66
        5
    documentzhangx66  
       2023-01-30 19:17:52 +08:00   ❤️ 2
    1.服务器一定要设置一下 IP 地址白名单,如果客户只在国内,那就只允许国内的 IP 地址访问。

    2.Linux 一定要安装 fail2ban ,Windows 一定要安装 wail2ban 。

    3.对外提供服务的进程,尽量以普通用户身份执行,并且系统重要文件,不允许普通用户更改。
    mikeluckybiy
        6
    mikeluckybiy  
       2023-01-30 19:22:53 +08:00 via Android   ❤️ 3
    之前看隔壁讨论说是宝塔有非常规情况下的提权后门,而且黑客是从后门入侵的,搞得官方很恼火,已经修复了多个版本,还是挡不住黑客,宝塔官网的 demo 之前都被黑掉了,建议华为云防火墙只放行网站端口 80,443 ,关闭其它所有端口
    cjbi
        7
    cjbi  
    OP
       2023-01-30 19:40:32 +08:00   ❤️ 1
    @kksd0912334 我这台服务器不是生产用的,平常做开发用的机器,宝塔可视化面板能调整一些参数切换程序版本确实很方便
    520discuz
        8
    520discuz  
       2023-01-30 19:43:31 +08:00   ❤️ 10
    @kksd0912334 1 不是所有人都干运维 2 普通菜鸟也有建站的权利 3 方便的东西用的人就是多 4 宝塔的安装量可以证明一切 5 为什么不用 DOS 要用 WIN 可以很好的回答你的问题
    siknet
        9
    siknet  
       2023-01-30 19:44:24 +08:00 via Android
    开二次验证和 web 验证
    520discuz
        10
    520discuz  
       2023-01-30 19:46:23 +08:00
    @kksd0912334 还有一点我想说的是 宝塔让普通网民知道了基础建站竟然如此简单 本质上抢了很多运维的饭碗 或是变相降了运维的工资 所以很多懂命令的运维其实都挺抵触或痛恨宝塔 说到底还是自己的利益受损
    cjbi
        11
    cjbi  
    OP
       2023-01-30 19:47:03 +08:00
    目前被种木马的还没找到,华为云那边也在积极帮忙排查
    cjbi
        12
    cjbi  
    OP
       2023-01-30 19:48:44 +08:00
    原因
    lzy250
        13
    lzy250  
       2023-01-30 19:50:35 +08:00 via iPhone
    开个 ssh 我上去看看。
    cjbi
        14
    cjbi  
    OP
       2023-01-30 19:54:23 +08:00
    @lzy250 公网访问不了,被华为冻结了
    cjbi
        15
    cjbi  
    OP
       2023-01-30 20:04:33 +08:00
    @documentzhangx66 有设置白名单,就开了 20 、21 、2280 、8080 、443 、8888 这几个端口
    chenqh
        16
    chenqh  
       2023-01-30 20:09:58 +08:00
    @mikeluckybiy 看不懂啊
    wangxiaoaer
        17
    wangxiaoaer  
       2023-01-30 20:18:50 +08:00
    @520discuz #10 你是不是对运维有什么误解?就你口中的普通网民还抢别人饭碗?除非你这说的这个运维就是普通网民的别名吧。
    whyclong
        18
    whyclong  
       2023-01-30 20:42:17 +08:00 via iPhone
    有工具不用就是傻逼。
    rekulas
        19
    rekulas  
       2023-01-30 22:01:12 +08:00   ❤️ 2
    目前没有明确证据证明面板本身存在漏洞,考虑到巨大的装机量如果存在高危漏洞应该早就有爆发迹象了,所以我还是不太相信这些分析的,还是认为是其他服务或 ssh 本身被破导致的,毕竟无论安不安宝塔都有被黑的,不能因为安了宝塔就甩锅
    如果担心又想用搞个访问限制即可,nginx 稍微配置下几分钟
    ragnaroks
        20
    ragnaroks  
       2023-01-30 22:13:58 +08:00
    用宝塔就做好被黑的心里准备,倒不是你的问题,是宝塔的问题
    cjbi
        21
    cjbi  
    OP
       2023-01-30 22:15:25 +08:00 via Android
    @rekulas 好的,我也不能确定是什么原因引起的,是我多虑了
    ragnaroks
        22
    ragnaroks  
       2023-01-30 22:15:27 +08:00
    一般来说不建议使用任何所谓面板的东西来操作服务器,如果命令行使用起来有难度,可以给 linux 装上桌面环境,开 RDP 后和 windows 一样用。
    felixcode
        23
    felixcode  
       2023-01-30 22:21:12 +08:00 via Android   ❤️ 1
    且不说该不该用,有点问题的时候,如果用面板会大幅增加排查问题的难度,难不成准备读宝塔的代码吗?
    msg7086
        24
    msg7086  
       2023-01-31 03:06:05 +08:00   ❤️ 1
    @felixcode 对。使用这些有对外服务的近似黑盒软件会大幅增加排查难度。

    不使用面板的话,只要看是不是有弱密码或者配置错误,因为操作系统一般都会把 CVE 修掉,普通用户也不太需要担心 0day 的问题。
    但是面板有问题,你怎么去保证面板的浅显漏洞都被查出来了?

    这也就是为什么一般人都不推荐把 Proxmox/ESXi/vCenter 之类控制面板端口暴露给公网。这些软件没有经过广泛(指全球大规模部署)的使用,漏洞排查得不彻底,所以保不准什么时候就给你出个 vCenter 随意登录和任意远程执行漏洞出来。
    xuanbg
        25
    xuanbg  
       2023-01-31 08:29:39 +08:00
    除了 80/443 外,其他端口一律上 IP 白名单
    fengjianxinghun
        26
    fengjianxinghun  
       2023-01-31 10:08:17 +08:00
    @whyclong 用了被黑更傻了
    ByteCat
        27
    ByteCat  
       2023-01-31 17:21:25 +08:00
    以前也用宝塔,后来发现没必要,一个 Nginx 解决所有问题。
    efaun
        28
    efaun  
       2023-02-02 06:28:30 +08:00 via Android
    还有傻子佣宝塔🤣这么多漏洞,攻击被攻击的案例都不看的吗?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   3246 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 828ms · UTC 11:30 · PVG 19:30 · LAX 04:30 · JFK 07:30
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.