BT异常的自查脚本

前提请看以下文章

关于外传宝塔面板或Nginx异常简单分析

脚本与文章引用地址：

脚本功能

• 利用 MD5 匹配扫描是否感染
• 利用文件大小扫描是否感染
• 自动清除感染文件
• 自动修复面板
• 自动修复 Nginx
• 特征
• /<宝塔安装目录>/server/nginx/sbin/nginx 文件大小变为 4.51MB (其他均不算)
• 存在以下任一文件（可能全部存在）
• /var/tmp/count
• /var/tmp/count.txt
• /var/tmp/backkk
• /var/tmp/msglog.txt
• /var/tmp/systemd-private-56d86f7d8382402517f3b51625789161d2cb-chronyd.service-jP37av
• /tmp/systemd-private-56d86f7d8382402517f3b5-jP37av
• 使用无痕模式访问目标网站的js文件，内容中包含: _0xd4d9 或 _0x2551 关键词的
• (可能) 服务器被种挖矿木马
• 此木马是随机性木马, 随机触发
• 面板日志/系统日志都被清空过的
• 建议
• 使用非默认端口号
• 暂时关闭面板 (直接防火墙封堵端口或暂停面板服务) 或 升级至最新版并修复面板
• 暂时关闭Nginx 或 升级至最新版 (已经升级的可以尝试卸载重装)
• 开启面板 BA 验证
• 开启面板 IP 授权验证

自查脚本

或者采用

• 附言
• 现已确定, /<宝塔安装目录>/server/nginx/sbin/nginxBak 文件为宝塔升级回退文件, 如已中招, 可以尝试使用此文件恢复至升级前的版本