宝塔aapanel面板原版和开心版的后门分析
2023 更新:最新发现,就算你面板用的开心版或者其他去后门版,从宝塔安装的插件也还是会有上传隐私的脚本!
替代宝塔面板,国外最强大的免费开源面板virtualmin安装教程
比如:安装memcached插件时,
http://download.bt.cn/install/0/memcached.sh
第247行 开始会下载http://download.bt.cn/tools/check.sh
宝塔的后门总结起来有三点:
1、日志收集、上传
与其关注本地日志你应该自己找下宝塔是在哪里上传的日志。
/www/server/panel/script/site_task.py
#面板日志分析统计下面就是上传日志的代码
2、发送并验证域名
/www/server/panel/class/public.py
def cloud_check_domain(domain)这个代码看起来像是申请证书使用的
处理方法:将相关代码改为
result = ""3、检查面板文件完整性,每隔10分钟执行一次修复面板文件
www/server/panel/task.py
def check_files_panel()官方标注为# 检查面板文件完整性 每隔10分钟执行一次
代码工作原理为 执行/www/server/panel/script/check_files.py
获取接口返回数据,然后做了一些判断,符合要求则
替换或者写入到/www/server/panel/class/下的文件内
然后重启面板
宝塔开心脚本
如果你想使用宝塔7.7原版+开心脚本+优化脚本,脚本在下面(风险自辨)
#宝塔面板7.7原版第三方存档
纯原版1:curl -sSO https://raw.githubusercontent.com/zhucaidan/btpanel-v7.7.0/main/install/install_panel.sh && bash install_panel.sh
纯原版2:wget -O install.sh http://f.cccyun.cc/bt/install_6.0.sh && bash install.sh
升级(降级)到7.7命令: curl http://f.cccyun.cc/bt/update6.sh|bash
<!--宝塔7.7原版一键开心脚本-->
<!--手动解锁宝塔所有付费插件为永不过期-->
文件路径:www/server/panel/data/plugin.json
搜索字符串:"endtime": -1 全部替换为 "endtime": 999999999999
<!--手动阻止解锁插件后自动修复为免费版-->
chattr +i /www/server/panel/data/plugin.json
宝塔linux工具箱优化脚本
一键修改宝塔面板模板、去除强制登陆、一键修复面板、一键更换yum源、清除系统垃圾缓存、系统优化等
#宝塔面板一键优化补丁 -彩虹
1.去除宝塔面板强制绑定账号
2.去除各种删除操作时的计算题与延时等待
3.去除创建网站自动创建的垃圾文件(index.html、404.html、.htaccess)
4.关闭未绑定域名提示页面,防止有人访问未绑定域名直接看出来是用的宝塔面板
5.关闭活动推荐与在线客服
6.去除自动校验文件与上报信息定时任务
7.去除面板日志与网站绑定域名上报
适用7.7版本:wget -O optimize.sh http://f.cccyun.cc/bt/optimize.sh && bash optimize.sh
适用7.9版本:wget -O optimize.sh http://f.cccyun.cc/bt/optimize_new.sh && bash optimize.sh
aaa
iipai
iipai
ccc
thttyjtyjt
lol