一个简单的扫描与清理工具, 用于解决 2022.12.3 被爆出的 BT Nginx 任意代码执行漏洞
你可以直接运行下面的命令运行此脚本
bash <(curl -fsSL https://raw.githubusercontent.com/FunnyShadow/BT-Nginx-Scanner/main/start.sh)
# 国内用户可尝试下面的命令
bash <(curl -fsSL https://ghproxy.com/https://raw.githubusercontent.com/FunnyShadow/BT-Nginx-Scanner/main/start.sh)或使用 GitHub Releases 中利用 shc 工具打包制作的二进制版本
-
利用 MD5 匹配扫描是否感染
-
利用文件大小扫描是否感染
-
自动清除感染文件
-
自动修复面板
-
自动修复 Nginx
宝塔系 Nginx/Apache 均出现严重漏洞
-
可直接获取系统最高权限
-
可执行任意命令
-
可直接修改Nginx配置文件
-
可直接修改数据库
-
/<宝塔安装目录>/server/nginx/sbin/nginx文件大小变为 4.51MB (其他均不算) -
存在以下任一文件(可能全部存在)
-
/var/tmp/count
-
/var/tmp/count.txt
-
/var/tmp/backkk
-
/var/tmp/msglog.txt
-
/var/tmp/systemd-private-56d86f7d8382402517f3b51625789161d2cb-chronyd.service-jP37av
-
/tmp/systemd-private-56d86f7d8382402517f3b5-jP37av
-
使用无痕模式访问目标网站的js文件,内容中包含: _0xd4d9 或 _0x2551 关键词的
-
(可能) 服务器被种挖矿木马
-
此木马是随机性木马, 随机触发
-
面板日志/系统日志都被清空过的
-
使用非默认端口号
-
暂时关闭面板 (直接防火墙封堵端口或暂停面板服务) 或 升级至最新版并修复面板
-
暂时关闭Nginx 或 升级至最新版 (已经升级的可以尝试卸载重装)
-
开启面板 BA 验证
-
开启面板 IP 授权验证
官方公告: https://www.bt.cn/bbs/thread-105121-1-1.html
现已确定, /<宝塔安装目录>/server/nginx/sbin/nginxBak 文件为宝塔升级回退文件, 如已中招, 可以尝试使用此文件恢复至升级前的版本
本项目采用 GPL 3.0 进行开源