共计 2053 个字符,预计需要花费 6 分钟才能阅读完成。
|
看了好久的帖子,只看到了各种跟风带节奏,蹭热度啥的,没有看到有出来说一下代码都是啥意思的。
所以我在这装个逼给讨论一下闹得沸沸扬扬的相关接口跟功能。请大家不要以谣传谣,仔细辨别。
以下结论,均为个人对于相关代码的理解所做出的判断,如有不对的地方欢迎指正。
本文章仅做相关技术交流,并非出于什么目的抹黑宝塔。
1. 日志收集
/www/server/panel/logs/request/*
该目录下面只是存放的面板日志而已没什么大惊小怪的,偶尔查查日志也不错啊。
2. 日志上传
与其关注本地日志你应该自己找下宝塔是在哪里上传的日志。
/www/server/panel/script/site_task.py
#面板日志分析统计下面就是上传日志的代码
但根据宝塔的隐私协议
https://www.bt.cn/new/agreement_privacy.html
- 3.2 子条款
- 日志信息—例如使用服务的时间和持续时间、通过服务输入的搜索查询字词,以及设备上设置的 Cookie 中所存储的相关信息。
复制代码
宝塔的意思是会收集一部分日志来优化体验
而代码里面是只收集了除 explode_names 变量里面的特征数据
(这里之前写错了 补充一下是 explode_names 的数据不会收集)
因此 mjj 可以稍微放点心了,宝塔只是收集了部分他想要的而已,并不是啥数据都传上去。
处理方法
删掉或者注销掉相关代码重启面板即可
3. 发送并验证域名
/www/server/panel/class/public.py
- def cloud_check_domain(domain)
复制代码
这个代码看起来像是申请证书使用的
处理方法
将相关代码改为
然后重启面板
4. 修复面板文件
/www/server/panel/task.py
官方标注为# 检查面板文件完整性 每隔 10 分钟执行一次
代码工作原理为 执行 /www/server/panel/script/check_files.py
获取接口返回数据,然后做了一些判断,符合要求则
替换或者写入到 /www/server/panel/class/ 下的文件内
然后重启面板
这个各位 MJJ 可以讨论一下
正向来讲确实可以及时修复漏洞
但域名被劫持,或者警察叔叔想查水表,这个貌似是可以利用一下的。
其实这个接口彩虹的一键优化脚本很久以前就已经去掉了
https://blog.cccyun.cn/post-431.html
后面我也借鉴了,添加到了我的脚本内
https://gitee.com/gacjie/btpanel_tools
可能是受我工具箱离线模式的影响,
宝塔的新版本 /www/server/panel/script/check_files.py 文件内的.
https://www.bt.cn/api/panel/check_files
改为了
https://check.bt.cn/api/panel/check_files
可见宝塔对于该接口还是挺重视的
解决办法
在 /www/server/panel/task.py 文件内
注释掉以下代码即可
至于你们吹的开心版 可能是觉得删除代码对他是一种侮辱
收集域名接口通过 api.py 劫持到了他的接口
修复面板文件的后门接口改为了他的链接
|
网友回复:
注册 : 你改来改去有什么用?系统最高权限在宝塔手里
btpanel: 面板 × 手动 ✔
fuckhdc: 删了主程序,插件里呢一样有 安装 memcached 插件 http://download.bt.cn/install/0/memcached.sh 第 247 行 开始会下载 http://download.bt.cn/tools/check.sh 代码上图
shunglay: 我就想装个逼而已 至于最高权限 除非你不想安装插件 只要跑脚本就是 root 权限
qq6825995: @司马南 出来洗地
btpanel: 不要艾特我 , 我不懂啊, 你应该艾特 @HOH
表妹 : 不做黑产、应该无所谓吧?做黑产的、应该懂得如何影藏自己吧?大家属于什么类型?
司马南 : 做黑产的机器都是境外的 都是各种跳板 至于有没有后门无所谓了
强迫症专家 : 绑定 收藏
btpanel: 已阅
注册 : 分析透彻
注册 : 770 以前版本检测破解版的 被检测到用开心版会直接执行删面板命令
yumingshang: 这种在安装时候没有选项关闭吗 就是那个愿不愿意参加用户体验的打勾
btpanel: 不懂装懂系列
yewg: 好,支持大佬
WuHu: 还没有那个功能,不过后面宝塔估计会搞一下吧!
xc55: 面板 × 手动 ✔
btpanel: 直接旧版的 开心版,不就解决了,又不是不能用,官方的版本会强制更新的
shunglay: @司马南 快来看 楼主是不是宝塔员工
醋醋来啦 : 既然逃不掉 享受就完了
注册 : 我使用 5.9,还稳定,虚拟机里安装 7.8 版本,直接让我绑定手机号,我就测试下 php8+mysql8 的性能,绑定锤子,后面那个项目砍了,说服了安西教练后,直接加了台机器 大佬看看 5.9 的有没有问题,我在其中一台机器上放了一张图,好慌
