宝塔bt.cn是一个著名的国产主机控制面板。傻瓜式的操作让小白用服务器搭建了一个网站环境,从而赢得了大量用户。然而前几天各大论坛都是关于宝塔后门收集私人信息的帖子。让我们看看发生了什么:
宝塔面板官方网站:https://bt.cn/
宝塔服务器面板,一键全能部署管理,送你3188元大礼包,点我领取宝塔服务器面板,一键全能部署管理,送你3188元大礼包,点我领取https://www.bt.cn/? invite _ code=mv 9 kag 5 wywk=
首先,网友po出了从宝塔收集信息并上传到服务器的详细代码和操作流程,有收集信息的证据。
第一步,收集安装包服务器上的域名,file/class/public.py,检查域名是否可用,/class/acme _ v2.py。
第二步,收集面板的操作日志,包括:时间、IP(*这里是操作面板的用户的IP)、请求方式、请求路径、UA、操作动作等。
信息由/class/public.py收集并保存在/www/server/panel/logs/request/directory中。
保存格式为:[\ "2022-05-06 01: 58: 10 \ ",\ "您的IP(非服务器IP): 1000 \ ",\ "Post \ ",\ "/login?\ ",\ "用户UA \ ",\" {} \ ",39]
步骤3:通过/script/site _ task.py将收集到的信息打包并发送给pagoda服务器.
由/task/bt-task.c定期执行,每小时执行一次。
以上消息来源是https://blog.kieng.cn/2950.html.事件被曝光后,宝塔连夜加班更新的新版本:
网页调侃:宝塔官方意识到事态的严重性,第一时间进行整改,将用户信息上传1分钟一次改为2分钟一次。
正好我手里有一个装了bt的服务器。进去看看:
果然像爆料一样。
宝塔上传用户信息的应急修复方法;
老刘的博客里附了一个应急修复方法。当然,这只是目前网友发现的后门。我建议应该改。信息安全非常重要。除了宝塔面板,还总结了Linux下常见的web一键包运行环境和控制面板。
#清空脚本文件
echo ' '/www/server/panel/script/site _ task . py
#脚本文件写保护,防止内容被写回(即使是root,没有保护也不能写)。
chattr I/www/server/panel/script/site _ task . py
#清除所有统计日志
RM-RF/www/server/panel/logs/request/*
#对请求文件夹进行写保护,防止内容被写入。
chattr I-R/www/server/panel/logs/request
西部数码代理(chenqinet.cn)是工信部、ICANN、CNNIC认证的全球顶级域名注册服务机构,中国五星级域名注册商!超过2000万个域名通过西部数码代理注册和管理,超过100万个网站托管在西部数码代理云服务器和虚拟主机。西部数码代理支持数十个顶级域名的注册和管理,支持批量查询、批量注册、批量分析、智能分析、批量迁移等便捷易用的功能,使用体验非常好。
目前西部数码代理域名注册在售,最低只要1元!
更多详情,请见http://zhuji.chenqinet.cn/services/domain/.
西部数码代理域名抢占预订,支持各类高价值老域名抢占,支持“网站历史、百度收录、百度权重、历史外链、百度评价、搜狗反链接”等综合搜索功能,共计26项!可以快速准确的定位到你想要定位的各类精品域名!同时,西部数码代理域名抢注整合了全球多家抢注厂商(将陆续增加近200家抢注厂商),梳理出13个抢注渠道,从根本上提高抢注成功率!
其中第一关成功率高达99%。每天西部数码代理预发布功能也会发布一些优质的过期域名,可以直接注册拍卖。
预定你最喜欢的域名:http://zhuji.chenqinet.cn/services/grab/index.asp.