2026年1月初我的大部分网站都出现被攻击的情况，具体现象是电脑端正常，但手机端访问时，第一次打开手机端网站就会跳转到黄色网站，也就是网站被插入了黄色广告。之后我检查了网站的所有代码。确定并没有任何可疑的js代码。为了以防万一，我给重要的网站更换新服务器，新宝塔面板。然后网站调用的唯一的外部代码，就是一个小厂的统计代码，我把统计代码也删除了。
之后过了几天检查网站，有一部分网站没有黄色广告问题了。但有一部分还是存在这跳转广告问题。这问题一直从2026年1月初到2月初都存在，昨天有其他朋友也遇到了相同情况，对方用的是别的网站系统，没有统计代码。他反映是宝塔面板最近出现了漏洞。之后我查看相关资料。确定确实是宝塔面板2025年12月发现漏洞，最近2026年初出现大量网站被入侵的问题。
解决方法其实也很简单，就是把宝塔面板升级到最新，版本高于11.3就可以了。我升级后宝塔面板是11.5版本，就没有问题了。之后又优化了其他细节，例如宝塔的api接口不用时关闭，网站的https防窜站功能打开，再安装防火墙，尽量不要用不确定的安全的外部代码（小厂统计代码）。
宝塔面板升级后，我连续测试了几天，大部分网站都恢复正常了。还是少数网站手机端会跳转色站。
之后查资料现在的情况是应该是流量劫持，应该是黑客攻击了服务器的Nginx配置，设置的重定向之类。
之后用命令检查服务器的重定向信息，果然发现了可疑的配置，确定是Nginx配置被修改。经过调试这些可疑配置，网站就恢复正常了。

------------------------------------------------------------------------------------
下面是在kimi上查到的关于宝塔面板漏洞的相关信息，分享个大家：
 
 根据搜索结果，确实有关于宝塔面板（BT Panel/aaPanel）的安全漏洞新闻，但需要区分不同的情况：

## 最新漏洞情况（2025年12月）

**CVE-2025-12914 SQL注入漏洞** 

- **披露时间**：2025年12月初
- **影响版本**：宝塔面板 11.2.x 及以下版本
- **漏洞类型**：SQL注入
- **风险等级**：官方评估为"实际风险有限"
- **修复版本**：11.3.0 及以上版本已修复

**重要说明**：该漏洞需要攻击者已经登录宝塔面板后台或获取 API AccessKey 才能利用，**无法被未授权远程用户直接利用** 。

## 近期大规模入侵事件（2026年2月）

根据 Datadog 安全实验室的最新报告 ，确实存在针对宝塔面板的大规模流量劫持攻击活动：

- **攻击方式**：利用恶意 NGINX 配置进行流量劫持（而非直接利用宝塔面板漏洞）
- **攻击目标**：主要面向亚洲地区域名（.in、.id、.bd、.th 等）、中国托管基础设施（特别是使用宝塔面板的系统）以及政府和教育机构域名
- **攻击手段**：黑客通过恶意脚本修改 NGINX 配置文件，将合法网站流量重定向到攻击者控制的后端服务器
- **关联漏洞**：与 React2Shell 漏洞（CVE-2025-55182，CVSS 10.0分）利用活动有关

## 历史重大漏洞回顾

- **2024年6月**：国际版宝塔面板被入侵事件，导致站点跳转到非法网站 
- **2022年12月**：宝塔面板 7.9.6 及以下版本出现严重漏洞，nginx 组件被替换为木马程序 
- **2020年8月**：宝塔面板 7.4.2/6.8 版本 phpMyAdmin 未鉴权漏洞，可通过 IP:888/pma 直接访问数据库 

## 安全建议

1. **立即升级到最新版本**（当前应为 11.3.0 或更高）
2. **关闭外网直接访问面板端口**（默认 8888），建议通过 VPN 或跳板机访问
3. **启用二步验证**和强密码策略
4. **定期检查 NGINX 配置文件**，确保未被恶意修改
5. **关注官方安全公告**：https://www.bt.cn/notices/

如果您是宝塔面板用户，建议立即检查面板版本并升级到最新版，同时审查服务器上的 NGINX 配置是否存在异常。