宝塔面板发文称：未发现重大BUG

宝塔面板发文称：未发现重大BUG 宝塔公司发布称：已立即组织技术团队跟进排查，经过2天的紧急排查，暂未发现Nginx以及面板的安全漏洞，也没有大规模出现被挂马的情况。 此前，有消息称宝塔面板出现重大BUG导致Nginx异常并被挂载木马病毒。 标签: #宝塔 #Nginx #Bug 频道: @GodlyNews1 投稿: @GodlyNewsBot

宝塔就“大量用户面板被挂马”发表公告：未发现安全漏洞

宝塔就“大量用户面板被挂马”发表公告：未发现安全漏洞 公告说：当前有个别用户反馈被挂马的情况，我司立即组织技术团队跟进排查，经过2天的紧急排查，暂未发现Nginx以及面板的安全漏洞，也没有大规模出现被挂马的情况；经分析，此木马主要行为是篡改Nginx主程序，以达到篡改网站响应内容。目前累计收到10个用户反馈网站被挂马，均为境外服务器，我们继续全力跟进和协助用户排查Nginx挂马情况，直到溯源出结果。

近期黑客针对宝塔面板管理员进行的钓鱼行动

近期黑客针对宝塔面板管理员进行的钓鱼行动 在上次的宝塔漏洞风波过后，近期宝塔面版论坛再次出现用户反馈网站被挂马、劫持问题。 [] 据网站esw.ink的一篇分析，被绑马的网站会被引入一份伪装成普通Bootstrap库、文件名为bootstrap_v10.js的恶意脚本。这场攻击专门针对中国用户。 同时，在宝塔论坛的众多反馈中，笔者还发现了这样一篇（ ），帖子中求助者声称自己遇到“浏览器安全组件缺失,错误码 0x164B56A3”错误，所提供图片为宝塔面版运行时错误弹窗。 不难看出，这是明显的钓鱼行为。攻击者在入侵服务器后对用户展开钓鱼，诱导其运行木马软件。且这样的钓鱼是为宝塔面版精心设计的，详情弹窗疑点与钓鱼证据。 笔者建议宝塔面版用户近期应注意安全防范：通过将面版监听端口切换到高位随机端口、部署防火墙规则仅允许特定IP地址访问或使用Cloudflare ZeroTrust等服务保护面版入口端点，在无需使用面版时可尽量关闭面版以减少攻击面。 TG匿名网友

重要: 宝塔 WAF 防火墙存在未授权访问漏洞，攻击者可通过漏洞访问后台API

重要: 宝塔 WAF 防火墙存在未授权访问漏洞，攻击者可通过漏洞访问后台API 最近在V2EX上有用户报告发现了一个关于宝塔 WAF 的未授权访问漏洞。这个漏洞允许未经授权的用户绕过登录验证，无视宝塔的随机登录地址，直接访问宝塔后台的某些API，实现远程控制 漏洞原理： 这个漏洞存在于/cloud_waf/nginx/conf.d/waf/public/waf_route.lua文件中，通过检查源代码可以发现，只要请求满足特定的IP和域名条件，就可以无需登录直接访问后台API，通过特定的HTTP请求头配置，攻击者可以模拟来自127.0.0.1的请求，并将Host头设置为127.0.0.251，从而绕过宝塔的访问控制。这种方式允许攻击者执行包括获取已拉黑IP列表、解封IP、删除所有日志等多种操作。 注：这表明宝塔WAF的核心防护功能存在严重的安全设计缺陷。 安全建议： 1. 宝塔用户应该立即检查自己的系统，看是否存在被这个漏洞利用的迹象。 2. 关注宝塔官方的通告和更新，及时安装最新的安全补丁。 3. 考虑采取额外的安全措施，比如使用第三方的安全工具来增强WAF的防护能力。 注：用户卸载 WAF 也可避免该问题 参考消息：

重要: 闲蛋面板疑似出现重大漏洞，攻击者可获取管理员账号进行资金提现及导出服务端全部配置和相关服务器详细信息

重要: 闲蛋面板疑似出现重大漏洞，攻击者可获取管理员账号进行资金提现及导出服务端全部配置和相关服务器详细信息 漏洞原理: 登录后闲蛋面板直接返回了相关用户的登录信息，包括邮箱及明文密码，普通用户访问特定链接通过查阅 userType:0 即可获取管理员账号及加密密码，登录后与管理员权限相同，可执行全部操作，包括进行支付提现和导出配置数据 注意:管理员密码仅用 MD5 转换一遍，安全级别低，攻击者碰撞成本较低 处置建议: 无，建议关机到发布修复补丁 利用难度: 一般，无特殊环境要求 使用情况: 已出现在野利用 勘误补充: MD5 不是加密算法,因为它不涉及密钥的使用,也不会对原始数据进行加密处理,而是将数据压缩成固定长度的摘要值,常用于数据完整性校验和数字签名等场景。

重要: Emby 紧急发布 4.7.12 更新，修复黑客攻击漏洞

重要: Emby 紧急发布 4.7.12 更新，修复黑客攻击漏洞 2023年5月25日 Emby 官方发布自部署服务器安全警告的通知 该通知告知用户从 2023 年 5 月中旬开始，一名黑客设法渗透了用户托管的 Emby Server 服务器，这些服务器可通过公共互联网访问，并且管理用户帐户的配置不安全。结合最近在 beta 通道中修复的“代理标头漏洞”，这使攻击者能够获得对此类系统的管理访问权限。最终，这使得攻击者可以安装自己的自定义插件，从而在 Emby Server 的运行过程中建立后门。 表现状况: 1. 你的Emby服务器在2023年5月25日自行关闭 2. 自2023年5月25日起，Emby服务器无法启动 3. 在Emby服务器日志中遇到某些特定消息，提示检测到可能未经您知情就安装的恶意插件 4. 在Windows事件日志中遇到与以上相同文本的错误条目 注意: 如果你使用的为第三方破解版可能不会出现以上问题，但并不代表你的服务器是安全状态，仍然需要进行自我排查并尽快安装更新补丁 问题原因: 大量 emby 搭建者会开启本地无需密码登录等不安全设置，但是服务器存在标头漏洞，攻击者可以通过伪造标头来实现无密码登录，再通过插件安装实现后门安装，后门会持续性的转发每次登录的密码/用户名到攻击者的后台 处置建议: 1. 删除名为helper.dll和EmbyHelper.dll的插件.dll文件 2. 将 的主机名添加到服务器机器的/etc/hosts文件中，并设置为指向127.0.0.1 [该域名为入侵者后门链接域名] 3. 修改用户密码和管理员密码，确保没有用户的密码为空并检查服务器是否存在异常链接 4. 禁用外部网络访问，删除programdata/plugins/configurations文件夹下的ReadyState.xml文件和EmbyScripterX.xml文件（如果存在），然后启动Emby服务器 5. 尽快安装 4.7.12 的安全更新