恰饭广告 感谢理解
恰饭广告 感谢理解
莆田潮牌鞋服
宝塔官方版后门揭露及分析,宝塔开心版是否推荐使用?

宝塔官方版后门揭露及分析,宝塔开心版是否推荐使用?

小编最近发现,无论是宝塔官方版又或是宝塔开心版,都有上传用户数据隐私的脚本。即使小编是用宝塔官方的安装脚本以及新centos机器,都发现了相关的后门。

宝塔后门揭露及分析

有的后门是在安装插件的时候冒出来的。例如安装memcached插件时系统会执行http://download.bt.cn/install/0/memcached.sh这个脚本,然后仔细观察可以发现,第247行下载了链接为http://download.bt.cn/tools/check.sh的sh脚本

1、日志收集、上传

日志基本包含了网站、面板以及插件的所有运行信息,同时立马也含有很多的隐私信息例如mysql后台地址等等。然而小编却发现宝塔官方版会自动上传用户日志,下面就是宝塔上传日志的代码文件路径。

/www/server/panel/script/site_task.py

2、发送并验证域名

文件路径:

/www/server/panel/class/public.py

执行代码:

def cloud_check_domain(domain)

不过这个代码好像是一键申请证书用来验证域名的,解决办法是:将相关代码改为

result = ""

3、检查面板文件完整性,每隔10分钟执行一次修复面板文件

文件路径:

www/server/panel/task.py

执行代码:

def check_files_panel()

官方标注为# 检查面板文件完整性 每隔10分钟执行一次

代码工作原理:

  1. 执行/www/server/panel/script/check_files.py
  2. 获取接口返回数据,然后做了一些判断
  3. 若符合要求,则替换或者写入到/www/server/panel/class/下的文件
  4. 重启面板

宝塔开心版是否推荐使用?

连宝塔官方版都有后门,那开心版也肯定会有的。我们要关注的是开心版是否会有额外的后门脚本,例如挖矿或肉鸡等。开心版的话我只推荐大家开发测试的时候用,等到应用正式部署上线后就换成官方正版。需要开心版测试应用的伙伴可移步免费获取:https://www.8uid.com/1325/。

最后,我想说的是,宝塔你不好好干,做好用户体验,用户迟早被1Panel抢走。

© 版权声明
THE END
喜欢就支持一下吧
点赞25赞赏 分享
评论 抢沙发

请登录后发表评论

    暂无评论内容