谷姐:我们都是谷歌迷
We are all Google fans

宝塔和开心版做了啥,大家还不知道吗?-btpanel

Rate this post

看了好久的帖子,只看到了各种跟风带节奏,蹭热度啥的,没有看到有出来说一下代码都是啥意思的。
所以我在这装个逼给讨论一下闹得沸沸扬扬的相关接口跟功能。请大家不要以谣传谣,仔细辨别。
以下结论,均为个人对于相关代码的理解所做出的判断,如有不对的地方欢迎指正。
本文章仅做相关技术交流,并非出于什么目的抹黑宝塔。

关于有用户质疑我抹黑开心版的,我统一做一下分析。
1.有用户说只是改成了他的链接,然后接口输出内容不让宝塔报错?
正常来讲,hostcli这类批量修改链接的,他可能是批量抓取接口回复,然后输出,很可能并不知道有一些接口做啥的。
而开心版则不同,开心版大部分接口都是访问宝塔面板,比如被锁面板的,就是因为与宝塔通讯然后导致面板被锁。
只是通过劫持,修改部分接口实现对面板进行破解,那么问题来了,为什么单单只改这几个接口,原因是他知道这些接口的用途。
那么你觉得一个知道危险接口的人,为什么不直接代码上改掉,而是改到他的接口上面去。技术菜?没人会信的吧?
尤其是10分钟请求一次接口,随时可以改动对方面板文件并重启的接口,去掉不是对于服务器的负担更小吗?
当然想搞些灰色收入也是可以理解的,比如写个判断随机给用户发点挖矿代码,出事还可以说是自己搞了啥中的招,毕竟别人也不都这样。

另外奉劝一下开心版用户,别盲目跟风,有漏洞我发了,我有错吗?
去掉的教程都写出来了,你们改改去掉漏洞该咋用咋用,不好吗?
难道有漏洞我藏着不放就对了吗?发出来就是黑你们的神,还要弄死我?
一点脑子都不带?一说关服你们就急,你看他什么时候关过。一帮工具人。

1.日志收集
/www/server/panel/logs/request/*
该目录下面只是存放的面板日志而已没什么大惊小怪的,偶尔查查日志也不错啊。

2.日志上传
与其关注本地日志你应该自己找下宝塔是在哪里上传的日志。
/www/server/panel/script/site_task.py
#面板日志分析统计下面就是上传日志的代码
但根据宝塔的隐私协议
https://www.bt.cn/new/agreement_privacy.html

    3.2子条款
    日志信息—例如使用服务的时间和持续时间、通过服务输入的搜索查询字词,以及设备上设置的 Cookie 中所存储的相关信息。

宝塔的意思是会收集一部分日志来优化体验
而代码里面是只收集了除explode_names变量里面的特征数据
(这里之前写错了 补充一下是explode_names的数据不会收集)
因此mjj可以稍微放点心了,宝塔只是收集了部分他想要的而已,并不是啥数据都传上去。
处理方法
删掉或者注销掉相关代码重启面板即可

3.发送并验证域名
/www/server/panel/class/public.py

    def cloud_check_domain(domain)

这个代码看起来像是申请证书使用的
处理方法
将相关代码改为

    result = ""

然后重启面板

4.修复面板文件
/www/server/panel/task.py

    def check_files_panel()

官方标注为# 检查面板文件完整性 每隔10分钟执行一次
代码工作原理为 执行/www/server/panel/script/check_files.py
获取接口返回数据,然后做了一些判断,符合要求则
替换或者写入到/www/server/panel/class/下的文件内
然后重启面板
这个各位MJJ可以讨论一下
正向来讲确实可以及时修复漏洞
但域名被劫持,或者警察叔叔想查水表,这个貌似是可以利用一下的。
其实这个接口彩虹的一键优化脚本很久以前就已经去掉了
https://blog.cccyun.cn/post-431.html
后面我也借鉴了,添加到了我的脚本内
https://gitee.com/gacjie/btpanel_tools
可能是受我工具箱离线模式的影响,
宝塔的新版本/www/server/panel/script/check_files.py文件内的.
https://www.bt.cn/api/panel/check_files
改为了
https://check.bt.cn/api/panel/check_files
可见宝塔对于该接口还是挺重视的
解决办法
在/www/server/panel/task.py文件内
注释掉以下代码即可

至于你们吹的开心版 可能是觉得删除代码对他是一种侮辱
收集域名接口通过api.py劫持到了他的接口

修复面板文件的后门接口改为了他的链接

热议
推荐楼 fuckhdc 3天前

你改来改去有什么用?系统最高权限在宝塔手里

推荐楼 btpanel 前天11:07

关于有用户质疑我抹黑开心版的,我统一做一下分析回复。
1.有用户说只是改成了他的链接,然后接口输出内容不让宝塔报错?
正常来讲,hostcli这类批量修改链接的,他可能是批量抓取接口回复,然后输出,很可能并不知道有一些接口做啥的。
而开心版则不同,开心版大部分接口都是访问宝塔面板,比如被锁面板的,就是因为与宝塔通讯然后导致面板被锁。
只是通过劫持,修改部分接口实现对面板进行破解,那么问题来了,为什么单单只改这几个接口,原因是他知道这些接口的用途。
那么你觉得一个知道危险接口的人,为什么不直接代码上改掉,而是改到他的接口上面去。技术菜?没人会信的吧?
尤其是10分钟请求一次接口,随时可以改动对方面板文件并重启的接口,去掉不是对于服务器的负担更小吗?
当然想搞些灰色收入也是可以理解的,比如写个判断随机给用户发点挖矿代码,出事还可以说是自己搞了啥中的招,毕竟别人也不都这样。

推荐楼 btpanel 3天前

你改来改去有什么用?系统最高权限在宝塔手里

我就想装个逼而已
至于最高权限 除非你不想安装插件
只要跑脚本就是root权限

推荐楼 shunglay 3天前

面板 ×
手动 ✔

推荐楼 yewg 3天前

这种在安装时候没有选项关闭吗 就是那个愿不愿意参加用户体验的打勾

推荐楼 qq6825995 3天前

删了主程序,插件里呢一样有
安装memcached插件
http://download.bt.cn/install/0/memcached.sh
第247行 开始会下载http://download.bt.cn/tools/check.sh

代码上图

推荐楼 司马南 3天前

@司马南 出来洗地

不要艾特我 ,我不懂啊, 你应该艾特@HOH

4楼 表妹 3天前

@司马南 出来洗地

6楼 强迫症专家 3天前

不做黑产、应该无所谓吧?
做黑产的、应该懂得如何影藏自己吧?

大家属于什么类型?

7楼 btpanel 3天前

不做黑产、应该无所谓吧?
做黑产的、应该懂得如何影藏自己吧?

做黑产的机器都是境外的 都是各种跳板 至于有没有后门无所谓了

8楼 gavin 3天前

绑定 收藏

9楼 b66667777 3天前

已阅

12楼 btpanel 3天前

删了主程序,插件里呢一样有
安装memcached插件
http://download.bt.cn/install/0/memcached.sh

770以前版本检测破解版的 被检测到用开心版会直接执行删面板命令

13楼 yewg 3天前

这种在安装时候没有选项关闭吗 就是那个愿不愿意参加用户体验的打勾

14楼 WuHu 3天前

不懂装懂系列

15楼 xc55 3天前

好,支持大佬

16楼 btpanel 3天前

yewg 发表于 2022-5-12 11:58
这种在安装时候没有选项关闭吗 就是那个愿不愿意参加用户体验的打勾

还没有那个功能,不过后面宝塔估计会搞一下吧!

17楼 shunglay 3天前

面板 ×
手动 ✔

18楼 醋醋来啦 3天前

直接旧版的 开心版,不就解决了,又不是不能用,官方的版本会强制更新的

19楼 小号专用马甲 3天前

@司马南快来看 楼主是不是宝塔员工

20楼 乌拉擦 3天前

既然逃不掉 享受就完了

22楼 ieason 前天10:30

小JJ,一直用5.9

23楼 btpanel 前天11:07

关于有用户质疑我抹黑开心版的,我统一做一下分析回复。
1.有用户说只是改成了他的链接,然后接口输出内容不让宝塔报错?
正常来讲,hostcli这类批量修改链接的,他可能是批量抓取接口回复,然后输出,很可能并不知道有一些接口做啥的。
而开心版则不同,开心版大部分接口都是访问宝塔面板,比如被锁面板的,就是因为与宝塔通讯然后导致面板被锁。
只是通过劫持,修改部分接口实现对面板进行破解,那么问题来了,为什么单单只改这几个接口,原因是他知道这些接口的用途。
那么你觉得一个知道危险接口的人,为什么不直接代码上改掉,而是改到他的接口上面去。技术菜?没人会信的吧?
尤其是10分钟请求一次接口,随时可以改动对方面板文件并重启的接口,去掉不是对于服务器的负担更小吗?
当然想搞些灰色收入也是可以理解的,比如写个判断随机给用户发点挖矿代码,出事还可以说是自己搞了啥中的招,毕竟别人也不都这样。

24楼 Gome 前天11:30

那hostcli 到底能用吗

25楼 btpanel 前天11:44

Gome 发表于 2022-5-13 11:30
那hostcli 到底能用吗

建议正规站不要用别的,违规站换其他的海外面板,官方就算有个修复,一般情况下他也不敢乱搞,毕竟公司有问题一告一个准。如开心版纯净版,都是些搞灰的大佬,善于隐藏自己,他们要是割韭菜,你报警也不一定抓的到的。

26楼 btpanel 前天22:58

另外奉劝一下开心版用户,别盲目跟风,有漏洞我发了,我有错吗?
去掉的教程都写出来了,你们改改去掉漏洞该咋用咋用,不好吗?
难道有漏洞我藏着不放就对了吗?发出来就是黑你们的神,还要弄死我?
一点脑子都不带?

27楼 浪听涛 前天23:10

这届的mjj堪忧

认真你就输了

28楼 btpanel 前天23:12

这届的mjj堪忧

认真你就输了

没事 有些人就是欠骂 骂的都是些欠骂的人 哈哈

29楼 小号专用马甲 昨天10:05

@司马南 快出来 咬楼主

30楼 btpanel 昨天10:39

@司马南 快出来 咬楼主

我太硬 咬不动

32楼 代码小白 6分钟前

之前叫的最欢的不就是你吗

申明:本文内容由网友收集分享,仅供学习参考使用。如文中内容侵犯到您的利益,请在文章下方留言,本站会第一时间进行处理。

未经谷姐允许不得转载:谷姐靓号网 » 宝塔和开心版做了啥,大家还不知道吗?-btpanel
分享到: 生成海报

热门文章

评论 抢沙发

评论前必须登录!

立即登录   注册

买Google Voice认准【谷姐靓号网】

Google Voice靓号列表Google Voice自助购买
切换注册

登录

忘记密码 ?

切换登录

注册

我们将发送一封验证邮件至你的邮箱, 请正确填写以完成账号注册和激活