活动资讯 ·

网上看到网友爆料宝塔面板搜集用户隐私信息,附宝塔上传用户信息

网友po出了详细的宝塔搜集信息并上传到服务器的代码和操作流程,附带搜集信息的证据。

搜集安装包套服务器上面的域名,收集面板操作日志,包括:时间,IP(*此处为操作面板用户的 IP),请求方式,请求路径,UA,操作动作等,保存到/www/server/panel/logs/request/目录。

保存格式为:[“时间”, “你的 本地IP(非服务器 IP):1000”, “POST”, “/login?”, “用户 UA”, “{}”, 39]

第三步、由/script/site_task.py,打包发送搜集到的信息到宝塔服务器。

由/task/bt-task.c 定时执行.每一小时执行一次。

于是我手上有一台测试服务器,安装的的是最新版宝塔,去/www/server/panel/logs/request/目录看了一下,果然如爆料一样的中招了。

修复方法:

#将脚本文件清空
echo "" > /www/server/panel/script/site_task.py

#脚本文件添加写保护,防止内容被写回(即使是root,不取消保护也无法写入)
chattr +i /www/server/panel/script/site_task.py
#清空所有统计日志
rm -rf /www/server/panel/logs/request/*
#为request文件夹添加写保护,防止内容写入
chattr +i -R /www/server/panel/logs/request

这个是发现的,听说还有好多后门。

在这里建议手动安装环境,虽然麻烦一点,但是隐私不会泄露!

参与评论