【尽量别用宝塔】近期黑客针对宝塔面板管理员进行的钓鱼..

malash

在上次的宝塔漏洞风波过后，近期宝塔面版论坛再次出现用户反馈网站被挂马、劫持问题。[ 1  (https://www.bt.cn/bbs/thread-117490-1-1.html)] [ 2 (https://www.bt.cn/bbs/thread-117815-1-1.html) ]

据网站esw.ink的一篇博文 (https://www.esw.ink/7159.html)分析，被绑马的网站会被引入一份伪装成普通Bootstrap库、文件名为bootstrap_v10.js的恶意脚本。这场攻击专门针对中国用户。

同时，在宝塔论坛的众多反馈中，笔者还发现了这样一篇帖子 (https://www.bt.cn/bbs/thread-117665-1-1.html)（存档 (https://web.archive.org/web/20230809184531/https://www.bt.cn/bbs/thread-117665-1-1.html) ），帖子中求助者声称自己遇到“浏览器安全组件缺失,错误码 0x164B56A3”错误，所提供图片为宝塔面版运行时错误弹窗。

不难看出，这是明显的钓鱼行为。攻击者在入侵服务器后对用户展开钓鱼，诱导其运行木马软件。且这样的钓鱼是为宝塔面版精心设计的，详情弹窗疑点与钓鱼证据点击这里 (https://telegra.ph/%E8%BF%91%E6%9C%9F%E9%BB%91%E5%AE%A2%E9%92%88%E5%AF%B9%E5%AE%9D%E5%A1%94%E9%9D%A2%E6%9D%BF%E7%AE%A1%E7%90%86%E5%91%98%E8%BF%9B%E8%A1%8C%E7%9A%84%E9%92%93%E9%B1%BC%E8%A1%8C%E5%8A%A8-08-10)。

笔者建议宝塔面版用户近期应注意安全防范：通过将面版监听端口切换到高位随机端口、部署防火墙规则仅允许特定IP地址访问或使用Cloudflare ZeroTrust等服务保护面版入口端点，在无需使用面版时可尽量关闭面版以减少攻击面。

—— TG匿名网友

jqbaobao

原来是钓鱼，那就说得通了，毕竟本身宝塔用户中弱智用户就不少，钓点上来挺正常

amao000765

总是吵架的猪 发表于 2023-8-10 23:11
没明白 都入侵替换nginx了  都有服务器权限了  为啥还js钓鱼？点击那个链接就可以读取宝塔秘密吗 太奇葩了 ...

小小宝塔算得了什么，不过是个肉鸡而已，最终目标可能是拿下运维人员的办公电脑，攻陷内网服务器，接下来的流程就很熟了，服务器文件加密，收邮件要赎金，打死不给，背地里悄咪咪把赎金付了。最后是网上新闻：xxx共公司内网服务器莫名种勒索病毒，奇怪的是明明都无异常操作，还是中招了，然后各种怀疑，决计不会想到是BT。。。

宫水三葉

搜狗跟wps不也爆出问题了

Sooele

https://ovh.sooele.com
这是我OVH的宝塔面板。欢迎攻破

mhsl

啊？是宝塔的开发被钓鱼的意思吗

im2828

用的时候打开面板端口，不用的时候直接关闭，只允许80和443 我是这样的。

Nansan

用zerotier访问，外网直接关闭端口

Send by DZ Reader

枝江小狼王

用宝塔就得做好这些觉悟

Hetzner

国内机用零信任这不就是双重延迟嘛

Omicron

钓宝塔管理员的

lanyecao

mw面板呢