网上看到网友爆料宝塔面板搜集用户隐私信息,附宝塔上传用户信息
网友po出了详细的宝塔搜集信息并上传到服务器的代码和操作流程,附带搜集信息的证据。
搜集安装包套服务器上面的域名,收集面板操作日志,包括:时间,IP(*此处为操作面板用户的 IP),请求方式,请求路径,UA,操作动作等,保存到/www/server/panel/logs/request/目录。
保存格式为:[“时间”, “你的 本地IP(非服务器 IP):1000”, “POST”, “/login?”, “用户 UA”, “{}”, 39]
第三步、由/script/site_task.py,打包发送搜集到的信息到宝塔服务器。
由/task/bt-task.c 定时执行.每一小时执行一次。
于是我手上有一台测试服务器,安装的的是最新版宝塔,去/www/server/panel/logs/request/目录看了一下,果然如爆料一样的中招了。
修复方法:
#将脚本文件清空 echo "" > /www/server/panel/script/site_task.py #脚本文件添加写保护,防止内容被写回(即使是root,不取消保护也无法写入) chattr +i /www/server/panel/script/site_task.py #清空所有统计日志 rm -rf /www/server/panel/logs/request/* #为request文件夹添加写保护,防止内容写入 chattr +i -R /www/server/panel/logs/request
这个是发现的,听说还有好多后门。
在这里建议手动安装环境,虽然麻烦一点,但是隐私不会泄露!