宝塔0day临时缓解措施

iMin

2022 年 12 月 09 日

2732 次浏览

关闭评论

1139字数

宝塔教程教程网络安全

# 事件概述

[【官方公告】关于外传宝塔面板或Nginx异常的公告 - Linux面板 - 宝塔面板论坛 (bt.cn)](https://www.bt.cn/bbs/thread-105121-1-1.html)

近日，国内知名服务器面板宝塔面板被爆出存在漏洞，目前，我们并不能具体找到入侵途径，但是本站找到了一些参考文章，大家可以先阅读下：

[ZoomEye测绘视角下的宝塔“0day”事件 (f5.pm)](https://f5.pm/go-140417.html)

[「高危漏洞」宝塔面板 Nginx 挂马事件剖析以及相关的补救措施 - Eswink](https://www.esw.ink/5574.html)

漏洞级别为高危，在官方定位原因前，我们需要自行加固，达到临时缓解目的。

# 挂马自查

可以利用宝塔公布的检查脚本检测是否中招

```
curl -sSO -k https://download.bt.cn/tools/w_check.py && btpython w_check.py && rm -rf w_check.py
```

## 宝塔专业版用户

1、升级宝塔面板至最新版，修改安全入口及账号密码，开启动态口令认证
2、nginx升级到当前主版本号的最新子版本，如1.22.0升级到1.22.1，已经是最新版的，请卸载重装
3、【企业版防篡改-重构版】插件可以有效防止网站被篡改，建议开启并设置root用户禁止修改文件（需要使用时再放开），另外，将nginx关键执行目录（/www/server/nginx/sbin）锁住
4、【宝塔系统加固】插件中的【关键目录加固】功能，可以将nginx关键执行目录（/www/server/nginx/sbin）锁住，此目录在正常使用中不会有任何修改的行为，除了重装以外其他修改行为均可视为被篡改，所以将它锁上。

## 云锁用户

1.云锁公有云用户，无需任何设置，启用云锁“操作系统加固功能”，云锁会自动拦截篡改行为；

![image.png](https://www.iminbk.com/usr/uploads/2022/12/1333677972.png)

2.如仍不放心，可在云锁配置文件防篡改规则，将/www/server/nginx/sbin/*加入防篡改防护项，可直接防御。

![image.png](https://www.iminbk.com/usr/uploads/2022/12/2794967542.png)

如有其他云锁问题，可以加云锁③群：191896643（其他群已满）

最后修改：2023 年 02 月 08 日