宝塔nginx给挂马

Apian

debian12，就安装了宝塔 nginx1.26，好像是极速安装，然后就搞了一些反代，因为才用没多久，也有SSH和面板登录监控，日志也都看了没啥异常，但是其中某个站点下载附件.docx和.pdf等的时候（要手机或者浏览器模拟手机），会跳转到XX，开始以为后端服务器问题，但是直接把域名指向后端，并没有任何问题，套CF也没任何问题，于是就怀疑到了这台nginx服务器，于是重新编译安装了nginx1.28，恢复。。。。
这台服务器什么都没有，很干净的机器，就nginx反代，因为域名比较多，就用了宝塔，没想到。。。大家都排查一下吧。。。

农夫山泉

难道又出漏洞啦？？不愧是bug塔

haul

有需要穿墙CDN可以联系我，过移动墙敏感地区墙国内节点域名不用北岸也可以访问80 443哦

Apian

农夫山泉 发表于 2025-6-27 22:19
难道又出漏洞啦？？不愧是bug塔

我估计不是宝塔的漏洞，可能是他的安装源nginx包被挂了，或者他们自己。。。。因为没有看到nginx文件有变更过，日期也是安装的日期，都对应得上，重新编译安装了1.28就OK了

fۣۖ༒ۣfۣۖ

你换啥都挂。
跟NGINX没关系。
宝塔的后门

笑花落半世琉璃

部署完应用：

1. bt stop

复制代码

需要使用面板时：

1. bt start

复制代码

Ninja

说实话我也遇到了很多次，我进行了完整的数据分析，结论是：nginx 反代 开了缓存，然后黑客利用缓存漏洞 对你缓存得文件内容植入广告js，比如你的静态页面  图片内容 都会植入广告js，
开始我以为服务器被黑各种找原因，后来又分析是不是机房被入侵，再后来我在nginx缓存中找到了首页加载的一些图片 被之注入了js！

夜朦心漓

Ninja 发表于 2025-6-27 23:07
说实话我也遇到了很多次，我进行了完整的数据分析，结论是：nginx 反代 开了缓存，然后黑客利用缓存漏洞 对 ...

nginx 关闭反代缓存可以解决这个问题吗？

奧巴马

Ninja 发表于 2025-6-27 23:07
说实话我也遇到了很多次，我进行了完整的数据分析，结论是：nginx 反代 开了缓存，然后黑客利用缓存漏洞 对 ...

表示nginx的缓存机制是安全的！否则这么大网站在用早就死了，且nginx开源，每一份代码可审计！有问题早就有人说了！主要是nginx代码量不大，简单！逻辑单一！

盖茨

Ninja 发表于 2025-6-27 23:07
说实话我也遇到了很多次，我进行了完整的数据分析，结论是：nginx 反代 开了缓存，然后黑客利用缓存漏洞 对 ...

那问题来了，这个缓存漏洞是Nginx的？