尽量别用宝塔:近期黑客针对宝塔面板管理员进行的钓鱼行动
内容提要:在上次的宝塔漏洞风波过后,近期宝塔面版论坛再次出现用户反馈网站被挂马、劫持问题。[ 1 (https://www.bt.cn/bbs/thread-117490-1-1.html)] [ 2 (https://www.bt.cn/bbs/thread-117815-1-1.html) ]
据网站esw.ink的一篇博文 (https://www.esw.ink/7159.html)分析,被绑马的网站会被引入一份伪装成普通Bootstrap库、文件名为bootstrap_v10.js的恶意脚本。这
在上次的宝塔漏洞风波过后,近期宝塔面版论坛再次出现用户反馈网站被挂马、劫持问题。[ 1 (https://www.bt.cn/bbs/thread-117490-1-1.html)] [ 2 (https://www.bt.cn/bbs/thread-117815-1-1.html) ]
据网站esw.ink的一篇博文 (https://www.esw.ink/7159.html)分析,被绑马的网站会被引入一份伪装成普通Bootstrap库、文件名为bootstrap_v10.js的恶意脚本。这场攻击专门针对中国用户。
同时,在宝塔论坛的众多反馈中,笔者还发现了这样一篇帖子 (https://www.bt.cn/bbs/thread-117665-1-1.html),帖子中求助者声称自己遇到“浏览器安全组件缺失,错误码 0x164B56A3”错误,所提供图片为宝塔面版运行时错误弹窗。
不难看出,这是明显的钓鱼行为。攻击者在入侵服务器后对用户展开钓鱼,诱导其运行木马软件。且这样的钓鱼是为宝塔面版精心设计的,详情弹窗疑点与钓鱼证据点击这里
笔者建议宝塔面版用户近期应注意安全防范:通过将面版监听端口切换到高位随机端口、部署防火墙规则仅允许特定IP地址访问或使用Cloudflare ZeroTrust等服务保护面版入口端点,在无需使用面版时可尽量关闭面版以减少攻击面。
近期黑客针对宝塔面板管理员进行的钓鱼行动
在上次的宝塔漏洞风波过后,近期宝塔面版论坛再次出现用户反馈网站被挂马、劫持问题。[1][2]
据网站esw.ink的一篇博文分析,被绑马的网站会被引入一份伪装成普通Bootstrap库、文件名为bootstrap_v1o.js的恶意脚本。这场攻击专门针对中国用户。
同时,在宝塔论坛的众多反馈中,笔者还发现了这样一篇帖子(存档),帖子中求助者声称自己遇到“浏览器安全组件缺失,错误码
OX164B56A3”错误,所提供图片为宝塔面版运行时错误弹窗。
不难看出,这是明显的钓鱼行为。攻击者在入侵服务器后对用户展开钓鱼,诱导其运行木马软件。且这样的钓鱼是为宝塔面版精心设计的,详情弹窗疑点与钓鱼证据如下:
1、下载宝塔源码并搜索关键词,找不到“浏览器安全组件缺失"这一字符串。
1、下载宝塔源码并搜索关键词,找不到“浏览器安全组件缺失"这一字符串。
2、该界面仅会展示宝塔的Python代码错误(会带有Traceback),浏览器有问题遇到js报错、http请求失败应当输出到DevTools的控制台,而不是让宝塔面版后端返回错误。"浏览器安全组件缺失"这一理由模糊而牵强。
3、错误代码为随意捏造的可能性较大;错误代码往往有规律,例如,对C/C++开发熟悉的同学一定对Windows上的oxc0000005、oxc000007b错误代码不陌生。计算机内部使用的错误代码紧凑而高效,往往不会使用随机的16进制整数。况且,搜索ox164B56A3这一关键词只能搜到宝塔内容,如果是浏览器问题,错误代码想必也会出现在其它程序的错误中,搜索结果也不可能仅仅与宝塔有关。
4、要求下载“安全组件更新”。熟悉信息安全或者对钓鱼/反钓鱼有了解的同学应该不难猜出有人在坐等木马上线了:让目标下载、运行可执行文件是钓鱼的常见操作。
5、通过搜索引擎查找同款案例,发现受害者运行“安全组件更新”或更换浏览器均无法解决问题,反而“修复面版就好了”,足以证明“浏览器安全组件缺失”是彻底的谎言。
(在反馈问题的帖子中,用户使用的是免费版,截图中能看到宝塔的广告推荐,使用破解版的概率较小;(破解也不会去宝塔论坛问了)
