防止宝塔版面收集信息上传
宝塔面板留后门搜集用户隐私信息,附宝塔上传用户信息紧急修复方案,防止宝塔版面收集信息上传。
宝塔收集服务器重要信息并上载到伺服器的代码和操作方式流程,内含收集重要信息的证据。
1.搜集服务器上面的域名.
/class/public.py
此处检测域名是否可用,由/class/acme_v2.py(签发 SSL 证书脚本)调用.
由于是服务器直接请求.会很容易获取域名对应绑定的 IP,从而搜集(可能)域名与 IP 的对应信息
2.收集面板操作日志的部分信息.
由/class/public.py搜集,保存到:/www/server/panel/logs/request/
保存格式为:
["2022-05-06 01:58:10", "你的 IP(非服务器 IP):1000", "POST", "/login?", "用户 UA", "{}", 39]
由/script/site_task.py发送到宝塔服务器部分信息
由/task/bt-task.c定时执行.每一小时执行一次.
暂时已知的就是这些.
还有就是某些页面可能会请求宝塔的图片.通过 referer 等信息也可以得到某些信息,最简单的就是需要绑定手机号宝塔账号之类登录才能使用的就不说了,这些都可以收集个人信息。
有没有上传你的信息,最简单的方法就是打开文件位置/www/server/panel/logs/request/ 查看有没有压缩包即可
如果有压缩包,证明你的信息已经被上传。
临时解决宝塔收集用户信息打包上传的方法如下;
登录你的SSH服务器执行以下红色代码命令;
#将脚本文件清空
echo “” > /www/server/panel/script/site_task.py
#脚本文件添加写保护,防止内容被写回(即使是root,不取消保护也无法写入)
chattr +i /www/server/panel/script/site_task.py
#清空所有统计日志
rm -rf /www/server/panel/logs/request/*
#为request文件夹添加写保护,防止内容写入
chattr +i -R /www/server/panel/logs/request