有这些代码相当于全身赤裸地人站在黑暗中,平时看不见,只要手电筒照射一下就看的光溜溜的。
现有的管理面板很简单,所以用户很多,从而也会导致很多乱纪违法的事情。若一身正气依然可以继续使用。不放心可以自行用命令构建网站环境,就几行代码的事情。和现有的面板相对就少了可视化罢了,基本上所有的命令都可以在网站找到。
===============
对于 PY 并不是特别了解.所以可能有疏漏.但是现有这些是一定有的
根据 GitHub 上开源的代码分析
1.搜集服务器上面的域名
/class/public.py
此处检测域名是否可用,由/class/acme_v2.py(签发 SSL 证书脚本)调用.
2.收集面板操作日志,包括:时间,IP(*此处为操作面板用户的 IP),请求方式,请求路径,UA,操作动作等
由/class/public.py搜集,保存到:/www/server/panel/logs/request/
保存格式为:
["2022-05-06 01:58:10", "你的 IP(非服务器 IP):1000", "POST", "/login?", "用户 UA", "{}", 39]
由/script/site_task.py打包发送到宝塔服务器
由/task/bt-task.c定时执行.每一小时执行一次
暂时已知的就是这些
还有就是某些页面可能会请求宝塔的图片
通过 referer 等信息也可以得到某些信息.和绑定手机号之类的就不说了
检查域名和收集操作信息属实没必要.不知道是什么意思
转载于:https://blog.kieng.cn/2950.html
public.py 里面那个从云端验证域名的可访问性.不会主动执行.只是在签发宝塔SSL的时候执行... (确实可能会收集IP与域名对应的信息)
还有就是/www/server/panel/logs/request/这个路径的日志会记录时间/UA/IP....
宝塔的 隐私政策 里第三条 也明确说了,可能会收集一些服务器的相关信息,和一些宝塔面板的使用日志(日志信息—例如使用服务的时间和持续时间、通过服务输入的搜索查询字词,以及设备上设置的 Cookie 中所存储的相关信息)
=========
不想换面板也不想宝塔继续上传服务器的信息可以按照下面的方法操作:
[alert class="success"]
ssh连接机器,把/www/server/panel/logs/request这个文件夹删掉,然后建立一个同名文件并给000权限即可,亲测不会再生成request文件夹和日志文件。
更绝一点可以给这个这个文件上i属性,然后反手把chattr命令删了,一般很少用这个。
[/alert]
其他的解决办法:
[alert class="warning"]
echo "" > /www/server/panel/script/site_task.py
chattr +i /www/server/panel/script/site_task.py
rm -rf /www/server/panel/logs/request/*
chattr +i -R /www/server/panel/logs/request四行的含义分别是
- 将脚本文件清空
- 脚本文件添加写保护,防止内容被写回(即使是root,不取消保护也无法写入)
- 清空所有统计日志
- 为request文件夹添加写保护,防止内容写入
[/alert]
