全球主机交流论坛

标题: 【尽量别用宝塔】近期黑客针对宝塔面板管理员进行的钓鱼.. [打印本页]

---

作者: malash    时间: 2023-8-10 13:11
标题: 【尽量别用宝塔】近期黑客针对宝塔面板管理员进行的钓鱼..


在上次的宝塔漏洞风波过后，近期宝塔面版论坛再次出现用户反馈网站被挂马、劫持问题。[ 1  (https://www.bt.cn/bbs/thread-117490-1-1.html)] [ 2 (https://www.bt.cn/bbs/thread-117815-1-1.html) ]

据网站esw.ink的一篇博文 (https://www.esw.ink/7159.html)分析，被绑马的网站会被引入一份伪装成普通Bootstrap库、文件名为bootstrap_v10.js的恶意脚本。这场攻击专门针对中国用户。

同时，在宝塔论坛的众多反馈中，笔者还发现了这样一篇帖子 (https://www.bt.cn/bbs/thread-117665-1-1.html)（存档 (https://web.archive.org/web/20230809184531/https://www.bt.cn/bbs/thread-117665-1-1.html) ），帖子中求助者声称自己遇到“浏览器安全组件缺失,错误码 0x164B56A3”错误，所提供图片为宝塔面版运行时错误弹窗。

不难看出，这是明显的钓鱼行为。攻击者在入侵服务器后对用户展开钓鱼，诱导其运行木马软件。且这样的钓鱼是为宝塔面版精心设计的，详情弹窗疑点与钓鱼证据点击这里 (https://telegra.ph/%E8%BF%91%E6%9C%9F%E9%BB%91%E5%AE%A2%E9%92%88%E5%AF%B9%E5%AE%9D%E5%A1%94%E9%9D%A2%E6%9D%BF%E7%AE%A1%E7%90%86%E5%91%98%E8%BF%9B%E8%A1%8C%E7%9A%84%E9%92%93%E9%B1%BC%E8%A1%8C%E5%8A%A8-08-10)。

笔者建议宝塔面版用户近期应注意安全防范：通过将面版监听端口切换到高位随机端口、部署防火墙规则仅允许特定IP地址访问或使用Cloudflare ZeroTrust等服务保护面版入口端点，在无需使用面版时可尽量关闭面版以减少攻击面。

—— TG匿名网友

---

作者: mhsl    时间: 2023-8-10 13:17
啊？是宝塔的开发被钓鱼的意思吗

---

作者: im2828    时间: 2023-8-10 13:18
用的时候打开面板端口，不用的时候直接关闭，只允许80和443 我是这样的。

---

作者: Nansan    时间: 2023-8-10 17:25
用zerotier访问，外网直接关闭端口

Send by DZ Reader

---

作者: 枝江小狼王    时间: 2023-8-10 17:27
用宝塔就得做好这些觉悟

---

作者: Hetzner    时间: 2023-8-10 17:29
国内机用零信任这不就是双重延迟嘛

---

作者: jqbaobao    时间: 2023-8-10 17:31
原来是钓鱼，那就说得通了，毕竟本身宝塔用户中弱智用户就不少，钓点上来挺正常

---

作者: Sooele    时间: 2023-8-10 17:44
https://ovh.sooele.com
这是我OVH的宝塔面板。欢迎攻破

---

作者: Omicron    时间: 2023-8-10 18:05


钓宝塔管理员的

---

作者: lanyecao    时间: 2023-8-10 18:18
mw面板呢

---

作者: 宫水三葉    时间: 2023-8-10 21:58
搜狗跟wps不也爆出问题了

---

作者: 总是吵架的猪    时间: 2023-8-10 23:11
没明白 都入侵替换nginx了  都有服务器权限了  为啥还js钓鱼？点击那个链接就可以读取宝塔秘密吗 太奇葩了

---

作者: 宁静致远    时间: 2023-8-11 00:49
我有个托管在HZ的站也用了宝塔，他喵的给上传了菜刀弄了一堆不发货只收钱的诈骗产品页面，连域名都污染了，还被HZ警告了。

---

作者: 拉斯    时间: 2023-8-11 08:29

总是吵架的猪 发表于 2023-8-10 23:11
没明白 都入侵替换nginx了  都有服务器权限了  为啥还js钓鱼？点击那个链接就可以读取宝塔秘密吗 太奇葩了 ...

他意思是弹个用户浏览器组件缺失的错误，诱导下载木马文件到本地电脑，然后应该是给赎金的流程吧....

---

作者: amao000765    时间: 2023-8-11 08:45

总是吵架的猪 发表于 2023-8-10 23:11
没明白 都入侵替换nginx了  都有服务器权限了  为啥还js钓鱼？点击那个链接就可以读取宝塔秘密吗 太奇葩了 ...

小小宝塔算得了什么，不过是个肉鸡而已，最终目标可能是拿下运维人员的办公电脑，攻陷内网服务器，接下来的流程就很熟了，服务器文件加密，收邮件要赎金，打死不给，背地里悄咪咪把赎金付了。最后是网上新闻：xxx共公司内网服务器莫名种勒索病毒，奇怪的是明明都无异常操作，还是中招了，然后各种怀疑，决计不会想到是BT。。。

---

作者: 152917    时间: 2023-8-11 09:14
我的80

---

作者: wenguonideshou    时间: 2023-8-11 09:20

amao000765 发表于 2023-8-11 08:45
小小宝塔算得了什么，不过是个肉鸡而已，最终目标可能是拿下运维人员的办公电脑，攻陷内网服务器，接下来 ...

这一招很高

---

作者: 总是吵架的猪    时间: 2023-8-11 10:51

拉斯 发表于 2023-8-11 08:29
他意思是弹个用户浏览器组件缺失的错误，诱导下载木马文件到本地电脑，然后应该是给赎金的流程吧.... ...

明白了  这个组件是安装到本地电脑上边的
就是个木马
我以为是安装到远程服务器上

---

作者: zhoumo310    时间: 2023-8-11 11:36
AMH老用户路过

---

欢迎光临 全球主机交流论坛 (https://www.91ai.net/)

Powered by Discuz! X3.4