近期黑客针对宝塔面板管理员进行的钓鱼行动

siergtc 2023-8-14 2651

来源 风向旗参考快讯

风向旗参考快讯(网友投稿) 于 2023年8月10日

在上次的宝塔漏洞风波过后,近期宝塔面版论坛再次出现用户反馈网站被挂马、劫持问题。[ 1 ] [ 2 ]

据网站esw.ink的一篇博文分析,被绑马的网站会被引入一份伪装成普通Bootstrap库、文件名为bootstrap_v10.js的恶意脚本。这场攻击专门针对中国用户。

同时,在宝塔论坛的众多反馈中,笔者还发现了这样一篇帖子(存档),帖子中求助者声称自己遇到“浏览器安全组件缺失,错误码 0x164B56A3”错误,所提供图片为宝塔面版运行时错误弹窗。

 

不难看出,这是明显的钓鱼行为。攻击者在入侵服务器后对用户展开钓鱼,诱导其运行木马软件。且这样的钓鱼是为宝塔面版精心设计的,详情弹窗疑点与钓鱼证据如下:

1、下载宝塔源码并搜索关键词,找不到“浏览器安全组件缺失”这一字符串。

2、该界面仅会展示宝塔的Python代码错误(会带有Traceback),浏览器有问题遇到js报错、http请求失败应当输出到DevTools的控制台,而不是让宝塔面版后端返回错误。“浏览器安全组件缺失”这一理由模糊而牵强。

3、错误代码为随意捏造的可能性较大;错误代码往往有规律,例如,对C/C++开发熟悉的同学一定对Windows上的0xc0000005、0xc000007b错误代码不陌生。计算机内部使用的错误代码紧凑而高效,往往不会使用随机的16进制整数。况且,搜索0x164B56A3这一关键词只能搜到宝塔内容,如果是浏览器问题,错误代码想必也会出现在其它程序的错误中,搜索结果也不可能仅仅与宝塔有关。

4、要求下载“安全组件更新”。熟悉信息安全或者对钓鱼/反钓鱼有了解的同学应该不难猜出有人在坐等木马上线了:让目标下载、运行可执行文件是钓鱼的常见操作。

5、通过搜索引擎查找同款案例,发现受害者运行“安全组件更新”或更换浏览器均无法解决问题,反而“修复面版就好了”,足以证明“浏览器安全组件缺失”是彻底的谎言。

(在反馈问题的帖子中,用户使用的是免费版,截图中能看到宝塔的广告推荐,使用破解版的概率较小;(破解也不会去宝塔论坛问了)

 

此类有高度钓鱼嫌疑的错误弹窗最早今年3月就有用户反馈。 (存档),但宝塔官方的多名运维人员不知是并没有意识到问题原因还是希望刻意隐瞒,仍在询问用户“您使用的是什么浏览器?”,甚至给出了“修复(面版)再切换浏览器访问下”的建议。

笔者建议宝塔面版用户近期应注意安全防范:通过将面版监听端口切换到高位随机端口、部署防火墙规则仅允许特定IP地址访问或使用Cloudflare ZeroTrust等服务保护面版入口端点,在无需使用面版时可尽量关闭面版以减少攻击面。

最新回复 (2)
  • usss 2023-8-15
    2

    都入侵了那拿不到宝塔不成...

  • gaoyuyu 2023-8-15
    3

    破解版不是直接有权限了吗,还用啥这样的折腾。