【尽量别用宝塔】近期黑客针对宝塔面板管理员进行的钓鱼..

malash

在上次的宝塔漏洞风波过后，近期宝塔面版论坛再次出现用户反馈网站被挂马、劫持问题。[ 1  (https://www.bt.cn/bbs/thread-117490-1-1.html)] [ 2 (https://www.bt.cn/bbs/thread-117815-1-1.html) ]

据网站esw.ink的一篇博文 (https://www.esw.ink/7159.html)分析，被绑马的网站会被引入一份伪装成普通Bootstrap库、文件名为bootstrap_v10.js的恶意脚本。这场攻击专门针对中国用户。

同时，在宝塔论坛的众多反馈中，笔者还发现了这样一篇帖子 (https://www.bt.cn/bbs/thread-117665-1-1.html)（存档 (https://web.archive.org/web/20230809184531/https://www.bt.cn/bbs/thread-117665-1-1.html) ），帖子中求助者声称自己遇到“浏览器安全组件缺失,错误码 0x164B56A3”错误，所提供图片为宝塔面版运行时错误弹窗。

不难看出，这是明显的钓鱼行为。攻击者在入侵服务器后对用户展开钓鱼，诱导其运行木马软件。且这样的钓鱼是为宝塔面版精心设计的，详情弹窗疑点与钓鱼证据点击这里 (https://telegra.ph/%E8%BF%91%E6%9C%9F%E9%BB%91%E5%AE%A2%E9%92%88%E5%AF%B9%E5%AE%9D%E5%A1%94%E9%9D%A2%E6%9D%BF%E7%AE%A1%E7%90%86%E5%91%98%E8%BF%9B%E8%A1%8C%E7%9A%84%E9%92%93%E9%B1%BC%E8%A1%8C%E5%8A%A8-08-10)。

笔者建议宝塔面版用户近期应注意安全防范：通过将面版监听端口切换到高位随机端口、部署防火墙规则仅允许特定IP地址访问或使用Cloudflare ZeroTrust等服务保护面版入口端点，在无需使用面版时可尽量关闭面版以减少攻击面。

—— TG匿名网友

jqbaobao

原来是钓鱼，那就说得通了，毕竟本身宝塔用户中弱智用户就不少，钓点上来挺正常

amao000765

总是吵架的猪 发表于 2023-8-10 23:11
没明白 都入侵替换nginx了  都有服务器权限了  为啥还js钓鱼？点击那个链接就可以读取宝塔秘密吗 太奇葩了 ...

小小宝塔算得了什么，不过是个肉鸡而已，最终目标可能是拿下运维人员的办公电脑，攻陷内网服务器，接下来的流程就很熟了，服务器文件加密，收邮件要赎金，打死不给，背地里悄咪咪把赎金付了。最后是网上新闻：xxx共公司内网服务器莫名种勒索病毒，奇怪的是明明都无异常操作，还是中招了，然后各种怀疑，决计不会想到是BT。。。

宫水三葉

搜狗跟wps不也爆出问题了

Sooele

https://ovh.sooele.com
这是我OVH的宝塔面板。欢迎攻破

zhoumo310

AMH老用户路过

总是吵架的猪

拉斯 发表于 2023-8-11 08:29
他意思是弹个用户浏览器组件缺失的错误，诱导下载木马文件到本地电脑，然后应该是给赎金的流程吧.... ...

明白了  这个组件是安装到本地电脑上边的
就是个木马
我以为是安装到远程服务器上

wenguonideshou

amao000765 发表于 2023-8-11 08:45
小小宝塔算得了什么，不过是个肉鸡而已，最终目标可能是拿下运维人员的办公电脑，攻陷内网服务器，接下来 ...

这一招很高

152917

我的80

拉斯

总是吵架的猪 发表于 2023-8-10 23:11
没明白 都入侵替换nginx了  都有服务器权限了  为啥还js钓鱼？点击那个链接就可以读取宝塔秘密吗 太奇葩了 ...

他意思是弹个用户浏览器组件缺失的错误，诱导下载木马文件到本地电脑，然后应该是给赎金的流程吧....

宁静致远

我有个托管在HZ的站也用了宝塔，他喵的给上传了菜刀弄了一堆不发货只收钱的诈骗产品页面，连域名都污染了，还被HZ警告了。

总是吵架的猪

没明白 都入侵替换nginx了  都有服务器权限了  为啥还js钓鱼？点击那个链接就可以读取宝塔秘密吗 太奇葩了