全球中文玩家俱乐部 Chinese players club of the Global .

侠外游戏论坛

 找回密码
 立即注册
快捷导航
搜索
视听
视听
图片
图片
段子
段子
小说
小说
查看: 1316|回复: 0
打印 上一主题 下一主题
收起左侧

[闲聊技术] 惊爆:宝塔面板留后门搜集隐私信息,附紧急修复方案

[复制链接]
ミ蒙面侠客ミ
跳转到指定楼层
俺是撸主
ミ蒙面侠客ミ  发表于 2022-8-17 11:55:21 回帖奖励 |正序浏览 |阅读模式

马上注册,结交更多侠客,享用更多功能,让你轻松玩转侠外论坛。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x

宝塔bt.cn是比较知名的国产主机控制面板,傻瓜式操作让小白也能用服务器搭建网站环境,从而赢得了大量用户。

然而今天各大论坛贴满了关于宝塔后门搜集隐私信息的帖子,我们看看怎么回事:


首先,网友po出了详细的宝塔搜集信息并上传到服务器的代码和操作流程,附带搜集信息的证据。
第一步、搜集安装包套服务器上面的域名,文件/class/public.py。并检测域名是否可用,/class/acme_v2.py。


第二步、收集面板操作日志,包括:时间,IP(*此处为操作面板用户的 IP),请求方式,请求路径,UA,操作动作等.

由/class/public.py搜集信息,保存到/www/server/panel/logs/request/目录。

保存格式为:["2022-05-06 01:58:10", "你的 IP(非服务器 IP):1000", "POST", "/login?", "用户 UA", "{}", 39]

第三步、由/script/site_task.py,打包发送搜集到的信息到宝塔服务器。


由/task/bt-task.c 定时执行.每一小时执行一次.


出处:https://blog.kieng.cn/2950.html

事情曝光后,宝塔连夜加班更新新版本

网页调侃道:宝塔官方认识到了事态严重,并在第一时间做出整改,把1分钟一次上传用户信息修改为修改为2分钟一次。


刚好,我手里有一台装了bt的服务器,进去看看


果然如爆料一样的中招了。


急修复方法

付一份紧急修复方法,当然这只是网友目前找到的后门,建议该换的还是得换了吧,信息安全很重要。

  1. echo "" > /www/server/panel/script/site_task.py

  2. chattr +i /www/server/panel/script/site_task.py

  3. rm -rf /www/server/panel/logs/request/*

  4. chattr +i -R /www/server/panel/logs/request
复制代码

四行的含义分别是

将脚本文件清空

脚本文件添加写保护,防止内容被写回(即使是root,不取消保护也无法写入)

清空所有统计日志

为request文件夹添加写保护,防止内容写入

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则


发布主题 上个主题 下个主题 快速回复 收藏帖子 返回列表 搜索

联系我们|Archiver|手机版|小黑屋|侠外网 ( 豫ICP备13018943号-1 )

GMT+8, 2024-11-10 21:56 , Processed in 0.039187 second(s), 21 queries , Gzip On, Memcache On.

Copyright © 2001-2023 侠外游戏论坛 Powered by !Zucsud X3.5

Support By A mysterious team , A great team ! Email:

快速回复 返回顶部 返回列表