最近很多用宝塔的朋友们出现一个问题，就是网站会被挂马跳转或者加入广告，这个应该是宝塔出现的一个漏洞，目前官方还没有正式修复：

入侵者通过该漏洞拥有root权限，受限于面板高权限运行，修改宝塔各种账号密码+SSH账号密码均为无效。
入侵者可以修改nginx配置文件+数据库文件+网站根目录文件
站点可能出现大量日志同时CPU异常占用，暂不清楚漏洞点，切勿随意点击清除日志按钮
注: 大量新装用户反馈出现挂马，目前BT官方源可能出现问题，建议暂停安装

大家查一下/www/server/nginx/sbin下面是否有 nginx 4.51 MB 文件(其他大小不算)

具体特征：

1. 最近修改 nginx 4.51 MB 文件

2. 日志被清空

3. 存在 bb.tar.gz 这个操作日志 且 与最近修改 nginx 4.51 MB 文件 时间几乎无差

4. 查看/tmp/ 下面 是否存在 systemd-private-56d86f7d8382402517f3b5-jP37av （挂马文件）

文件：nginx 4.51 MB

文件：systemd-private-56d86f7d8382402517f3b5-jP37av

两个被挂马的人进行了对比 文件一致

目前没有办法复现，只看到一人出现 bb.tar.gz 这个操作日志 与 最近修改 nginx 4.51 MB 文件 时间几乎无差 其他人日志都被清除过

临时解决方案：切换nginx版本 看看 nginx文件 是否变化 删除 /tmp/systemd-private-56d86f7d8382402517f3b5-jP37av 修改面板用户名密码 关闭面板 bt stop （安装插件：文件监控 监控 /www/server/nginx/sbin 与 /tmp 目录）