小编最近发现,无论是宝塔官方版又或是宝塔开心版,都有上传用户数据隐私的脚本。即使小编是用宝塔官方的安装脚本以及新centos机器,都发现了相关的后门。
宝塔后门揭露及分析
有的后门是在安装插件的时候冒出来的。例如安装memcached插件时系统会执行http://download.bt.cn/install/0/memcached.sh这个脚本,然后仔细观察可以发现,第247行下载了链接为http://download.bt.cn/tools/check.sh的sh脚本
1、日志收集、上传
日志基本包含了网站、面板以及插件的所有运行信息,同时立马也含有很多的隐私信息例如mysql后台地址等等。然而小编却发现宝塔官方版会自动上传用户日志,下面就是宝塔上传日志的代码文件路径。
/www/server/panel/script/site_task.py2、发送并验证域名
文件路径:
/www/server/panel/class/public.py执行代码:
def cloud_check_domain(domain)不过这个代码好像是一键申请证书用来验证域名的,解决办法是:将相关代码改为
result = ""3、检查面板文件完整性,每隔10分钟执行一次修复面板文件
文件路径:
www/server/panel/task.py执行代码:
def check_files_panel()官方标注为# 检查面板文件完整性 每隔10分钟执行一次
代码工作原理:
- 执行/www/server/panel/script/check_files.py
- 获取接口返回数据,然后做了一些判断
- 若符合要求,则替换或者写入到/www/server/panel/class/下的文件
- 重启面板
宝塔开心版是否推荐使用?
连宝塔官方版都有后门,那开心版也肯定会有的。我们要关注的是开心版是否会有额外的后门脚本,例如挖矿或肉鸡等。开心版的话我只推荐大家开发测试的时候用,等到应用正式部署上线后就换成官方正版。需要开心版测试应用的伙伴可移步免费获取:https://www.8uid.com/1325/。
最后,我想说的是,宝塔你不好好干,做好用户体验,用户迟早被1Panel抢走。
1 如果您喜欢本站,点击这儿捐赠本站,感谢支持!
2 修改版本安卓及电脑软件,加群提示为修改者自留,非本站信息,注意鉴别;
3 本网站部分资源来源于网络,仅供大家学习与参考,请于下载后24小时内删除;
4 若作商业用途,请联系原作者授权,若本站侵犯了您的权益请联系站长进行删除处理;
5 如果您喜欢该内容,请支持正版,购买注册,得到更好的正版服务;
暂无评论内容