我的经历

今天早上8:01我的微信提示我的旧服务（Services）器有异地登录，就想到了昨天刚看到的宝塔漏洞（宝塔在公告说还没发现面板有漏洞）
（旧服务器还有不到一个月就到期了，面板就没关，还好新服务器面板已经关掉了hhh）

然后就上面板看，发现日志被清空了

从登录到清空日志只需要21秒，这不可能是人在操作了，应该是程序...

然后终端（Terminal）使用：

curl -sSO http://download.bt.cn/tools/w_check.py && btpython w_check.py && rm -rf w_check.py

发现确实是被挂马了

然后就去找了官方人员，给解决了
顺便问了问出现原因，说暂时还没有准确原因（意料之中）
等后面再看看宝塔官方说什么吧

以下引用（ref）官方的部分内容

官方原文：关于外传宝塔面板或Nginx异常的公告

已知木马特征：

明显现象：访问自己的网站跳转到其他非法网站
如果出现了上面的现象，排查是否符合下面的特征
1、使用无痕模式访问目标网站的js文件，内容中包含：_0xd4d9 或 _0x2551 或 _0xb2ce 关键词的
2、面板日志、系统日志都被清空过的
3、/www/server/nginx/sbin/nginx 被替换的，或者存在 /www/server/nginx/conf/btwaf/config 文件的
4、后期安装的nginx存在 /www/server/panel/data/nginx_md5.pl 文件，可与现有文件进行比较确认是否被修改（nginx_md5.pl文件是我们用来记录上一次安装nginx时的md5值，如果您的网站异常了，可以打开这个文件跟现在的/www/server/nginx/sbin/nginx文件md5做对比）

排查命令：

curl -sSO http://download.bt.cn/tools/w_check.py && btpython w_check.py && rm -rf w_check.py

官方建议：

未出现问题的用户如果担心风险，执行bt stop命令停止面板服务(开启命令是bt restart)，停止面板服务不会影响网站的正常运行。

---

欢迎加入腾讯云自媒体分享计划，成功加入计划后两人都分别获得 30/100/180 元云服务器代金券
https://cloud.tencent.com/developer/support-plan?invite_code=1xz7cmoun3r2a