云烟成雨41天前更新关注私信 小编最近发现,无论是宝塔官方版又或是宝塔开心版,都有上传用户数据隐私的脚本。即使小编是用宝塔官方的安装脚本以及新centos机器,都发现了相关的后门。 宝塔后门揭露及分析 有的后门是在安装插件的时候冒出来的。例如安装memcached插件时系统会执行http://download.bt.cn/install/0/memcached.sh这个脚本,然后仔细观察可以发现,第247行下载了链接为http://download.bt.cn/tools/check.sh的sh脚本 1、日志收集、上传 日志基本包含了网站、面板以及插件的所有运行信息,同时立马也含有很多的隐私信息例如mysql后台地址等等。然而小编却发现宝塔官方版会自动上传用户日志,下面就是宝塔上传日志的代码文件路径。 /www/server/panel/script/site_task.py 2、发送并验证域名 文件路径: /www/server/panel/class/public.py 执行代码: def cloud_check_domain(domain) 不过这个代码好像是一键申请证书用来验证域名的,解决办法是:将相关代码改为 result = "" 3、检查面板文件完整性,每隔10分钟执行一次修复面板文件 文件路径: www/server/panel/task.py 执行代码: def check_files_panel() 官方标注为# 检查面板文件完整性 每隔10分钟执行一次 代码工作原理: 执行/www/server/panel/script/check_files.py 获取接口返回数据,然后做了一些判断 若符合要求,则替换或者写入到/www/server/panel/class/下的文件 重启面板 宝塔开心版是否推荐使用? 连宝塔官方版都有后门,那开心版也肯定会有的。我们要关注的是开心版是否会有额外的后门脚本,例如挖矿或肉鸡等。开心版的话我只推荐大家开发测试的时候用,等到应用正式部署上线后就换成官方正版。需要开心版测试应用的伙伴可移步免费获取:https://www.8uid.com/1325/。 最后,我想说的是,宝塔你不好好干,做好用户体验,用户迟早被1Panel抢走。 温馨提示:本文最后更新于2024-06-16 11:49:32,某些文章具有时效性,若有错误或已失效,请私信客服或联系站长QQ。------本文内容已结束,喜欢请分享------ 感谢您的访问,Ctrl+D收藏本站吧。 © 版权声明 相关声明 1、本站名称:个人笔记 2、本站永久网址:https://www.8uid.com 3、本站部分内容源于网络和用户投稿,仅供学习与研究使用,请下载后于24小时内彻底删除所有相关信息,如有侵权,请联系站长进行删除处理。 4、用户评论和发布内容,并不代表本站赞同其观点和对其真实性负责。 5、本站禁止以任何方式发布或转载任何违法的相关信息。 6、资源大多存储在云盘,如发现链接失效,请联系我们替换更新。 7、本站中广告与用户付费(赞助)等均用以网站日常开销,为非盈利性质的站点,不参与商业行为,纯属个人兴趣爱好。 二月 17 知岛上的今时往日 "吼吼~,往年的今天,作者不知道跑哪里偷懒去了~" THE END圈内闲谈# 宝塔# 宝塔面板# 后门# 宝塔开心版 点赞25投币 分享QQ空间微博QQ好友海报分享复制链接收藏