- A+
所属分类:Linux
然而今天各大论坛贴满了关于宝塔后门搜集隐私信息的帖子,我们看看怎么回事:
首先,网友po出了详细的宝塔搜集信息并上传到服务器的代码和操作流程,附带搜集信息的证据。
对于 PY 并不是特别了解.所以可能有疏漏.但是现有这些应该是有的.
根据 GitHub 上开源的代码分析. 
1.搜集服务器上面的域名.
/class/public.py
此处检测域名是否可用,由
/class/acme_v2.py(签发 SSL 证书脚本)调用.
由于是服务器直接请求.会很容易获取域名对应绑定的 IP,从而搜集(可能)域名与 IP 的对应信息
2.收集面板操作日志的
部分信息.
由
/class/public.py搜集,保存到:
/www/server/panel/logs/request/
保存格式为:
|
1 |
["2022-05-06 01:58:10", "你的 IP(非服务器 IP):1000", "POST", "/login?", "用户 UA", "{}", 39] |
由
/script/site_task.py发送到宝塔服务器
部分信息
由
/task/bt-task.c定时执行.每一小时执行一次.
出处:https://blog.kieng.cn/2950.html
事情曝光后,宝塔连夜加班更新新版本
网页调侃道:宝塔官方认识到了事态严重,并在第一时间做出整改,把1分钟一次上传用户信息修改为修改为2分钟一次。
刚好,我手里有一台装了bt的服务器,进去看看
果然如爆料一样的中招了。
急修复方法
付一份紧急修复方法,当然这只是网友目前找到的后门,建议该换的还是得换了吧,信息安全很重要。
|
1 2 3 4 5 6 7 |
echo "" > /www/server/panel/script/site_task.py chattr +i /www/server/panel/script/site_task.py rm -rf /www/server/panel/logs/request/* chattr +i -R /www/server/panel/logs/request |
四行的含义分别是
将脚本文件清空
脚本文件添加写保护,防止内容被写回(即使是root,不取消保护也无法写入)
清空所有统计日志
为request文件夹添加写保护,防止内容写入
