全球主机交流论坛

标题: 宝塔和开心版做了啥，大家还不知道吗？ [打印本页]

作者: btpanel 时间: 2022-5-12 11:35
标题: 宝塔和开心版做了啥，大家还不知道吗？
本帖最后由 btpanel 于 2022-5-14 01:44 编辑

看了好久的帖子，只看到了各种跟风带节奏，蹭热度啥的，没有看到有出来说一下代码都是啥意思的。
所以我在这装个逼给讨论一下闹得沸沸扬扬的相关接口跟功能。请大家不要以谣传谣，仔细辨别。
以下结论，均为个人对于相关代码的理解所做出的判断，如有不对的地方欢迎指正。
本文章仅做相关技术交流，并非出于什么目的抹黑宝塔。

关于有用户质疑我抹黑开心版的，我统一做一下分析。
1.有用户说只是改成了他的链接，然后接口输出内容不让宝塔报错？
正常来讲，hostcli这类批量修改链接的，他可能是批量抓取接口回复，然后输出，很可能并不知道有一些接口做啥的。
而开心版则不同，开心版大部分接口都是访问宝塔面板，比如被锁面板的，就是因为与宝塔通讯然后导致面板被锁。
只是通过劫持，修改部分接口实现对面板进行破解，那么问题来了，为什么单单只改这几个接口，原因是他知道这些接口的用途。
那么你觉得一个知道危险接口的人，为什么不直接代码上改掉，而是改到他的接口上面去。技术菜？没人会信的吧？
尤其是10分钟请求一次接口，随时可以改动对方面板文件并重启的接口，去掉不是对于服务器的负担更小吗？
当然想搞些灰色收入也是可以理解的，比如写个判断随机给用户发点挖矿代码，出事还可以说是自己搞了啥中的招，毕竟别人也不都这样。

另外奉劝一下开心版用户，别盲目跟风，有漏洞我发了，我有错吗？
去掉的教程都写出来了，你们改改去掉漏洞该咋用咋用，不好吗？
难道有漏洞我藏着不放就对了吗？发出来就是黑你们的神，还要弄死我？
一点脑子都不带？一说关服你们就急，你看他什么时候关过。一帮工具人。

1.日志收集
/www/server/panel/logs/request/*
该目录下面只是存放的面板日志而已没什么大惊小怪的，偶尔查查日志也不错啊。

2.日志上传
与其关注本地日志你应该自己找下宝塔是在哪里上传的日志。
/www/server/panel/script/site_task.py
#面板日志分析统计下面就是上传日志的代码
但根据宝塔的隐私协议
https://www.bt.cn/new/agreement_privacy.html

3.2子条款
日志信息—例如使用服务的时间和持续时间、通过服务输入的搜索查询字词，以及设备上设置的 Cookie 中所存储的相关信息。

复制代码

宝塔的意思是会收集一部分日志来优化体验
而代码里面是只收集了除explode_names变量里面的特征数据
（这里之前写错了补充一下是explode_names的数据不会收集）
因此mjj可以稍微放点心了，宝塔只是收集了部分他想要的而已，并不是啥数据都传上去。
处理方法
删掉或者注销掉相关代码重启面板即可

3.发送并验证域名
/www/server/panel/class/public.py

def cloud_check_domain(domain)

复制代码

这个代码看起来像是申请证书使用的
处理方法
将相关代码改为

result = ""

复制代码

然后重启面板

4.修复面板文件
/www/server/panel/task.py

def check_files_panel()

复制代码

官方标注为# 检查面板文件完整性每隔10分钟执行一次
代码工作原理为执行/www/server/panel/script/check_files.py
获取接口返回数据，然后做了一些判断，符合要求则
替换或者写入到/www/server/panel/class/下的文件内
然后重启面板
这个各位MJJ可以讨论一下
正向来讲确实可以及时修复漏洞
但域名被劫持，或者警察叔叔想查水表，这个貌似是可以利用一下的。
其实这个接口彩虹的一键优化脚本很久以前就已经去掉了
https://blog.cccyun.cn/post-431.html
后面我也借鉴了，添加到了我的脚本内
https://gitee.com/gacjie/btpanel_tools
可能是受我工具箱离线模式的影响，
宝塔的新版本/www/server/panel/script/check_files.py文件内的.
https://www.bt.cn/api/panel/check_files
改为了
https://check.bt.cn/api/panel/check_files
可见宝塔对于该接口还是挺重视的
解决办法
在/www/server/panel/task.py文件内
注释掉以下代码即可

至于你们吹的开心版可能是觉得删除代码对他是一种侮辱
收集域名接口通过api.py劫持到了他的接口

修复面板文件的后门接口改为了他的链接

作者: fuckhdc 时间: 2022-5-12 11:37
提示: 作者被禁止或删除内容自动屏蔽

作者: btpanel 时间: 2022-5-12 11:39

fuckhdc 发表于 2022-5-12 11:37
你改来改去有什么用？系统最高权限在宝塔手里

我就想装个逼而已
至于最高权限除非你不想安装插件
只要跑脚本就是root权限

作者: 表妹 时间: 2022-5-12 11:40
提示: 作者被禁止或删除内容自动屏蔽

作者: 司马南 时间: 2022-5-12 11:42
提示: 作者被禁止或删除内容自动屏蔽

作者: 强迫症专家 时间: 2022-5-12 11:44
不做黑产、应该无所谓吧？
做黑产的、应该懂得如何影藏自己吧？

大家属于什么类型？

作者: btpanel 时间: 2022-5-12 11:49

强迫症专家发表于 2022-5-12 11:44
不做黑产、应该无所谓吧？
做黑产的、应该懂得如何影藏自己吧？

做黑产的机器都是境外的都是各种跳板至于有没有后门无所谓了

作者: gavin 时间: 2022-5-12 11:53
绑定收藏

作者: b66667777 时间: 2022-5-12 11:53
已阅

作者: qq6825995 时间: 2022-5-12 11:55
删了主程序，插件里呢一样有
安装memcached插件
http://download.bt.cn/install/0/memcached.sh
第247行开始会下载http://download.bt.cn/tools/check.sh

代码上图

作者: yumingshang 时间: 2022-5-12 11:55

分析透彻

作者: btpanel 时间: 2022-5-12 11:58

qq6825995 发表于 2022-5-12 11:55
删了主程序，插件里呢一样有
安装memcached插件
http://download.bt.cn/install/0/memcached.sh

770以前版本检测破解版的被检测到用开心版会直接执行删面板命令

作者: yewg 时间: 2022-5-12 11:58
这种在安装时候没有选项关闭吗就是那个愿不愿意参加用户体验的打勾

作者: WuHu 时间: 2022-5-12 12:08
不懂装懂系列

作者: xc55 时间: 2022-5-12 12:24
好，支持大佬

作者: btpanel 时间: 2022-5-12 13:45

yewg 发表于 2022-5-12 11:58
这种在安装时候没有选项关闭吗就是那个愿不愿意参加用户体验的打勾

还没有那个功能，不过后面宝塔估计会搞一下吧！

作者: shunglay 时间: 2022-5-12 14:26
面板 ×
手动 ✔

作者: 醋醋来啦 时间: 2022-5-12 14:45

直接旧版的开心版，不就解决了，又不是不能用，官方的版本会强制更新的

作者: 小号专用马甲 时间: 2022-5-12 14:58
提示: 作者被禁止或删除内容自动屏蔽

作者: 乌拉擦 时间: 2022-5-12 15:01
既然逃不掉享受就完了

作者: 人生短短几个秋 时间: 2022-5-12 23:14
我使用 5.9，还稳定，虚拟机里安装7.8版本，直接让我绑定手机号，我就测试下php8+mysql8的性能，绑定锤子，后面那个项目砍了，说服了安西教练后，直接加了台机器
大佬看看 5.9的有没有问题，我在其中一台机器上放了一张图，好慌

作者: ieason 时间: 2022-5-13 10:30
小JJ，一直用5.9

作者: btpanel 时间: 2022-5-13 11:07
关于有用户质疑我抹黑开心版的，我统一做一下分析回复。
1.有用户说只是改成了他的链接，然后接口输出内容不让宝塔报错？
正常来讲，hostcli这类批量修改链接的，他可能是批量抓取接口回复，然后输出，很可能并不知道有一些接口做啥的。
而开心版则不同，开心版大部分接口都是访问宝塔面板，比如被锁面板的，就是因为与宝塔通讯然后导致面板被锁。
只是通过劫持，修改部分接口实现对面板进行破解，那么问题来了，为什么单单只改这几个接口，原因是他知道这些接口的用途。
那么你觉得一个知道危险接口的人，为什么不直接代码上改掉，而是改到他的接口上面去。技术菜？没人会信的吧？
尤其是10分钟请求一次接口，随时可以改动对方面板文件并重启的接口，去掉不是对于服务器的负担更小吗？
当然想搞些灰色收入也是可以理解的，比如写个判断随机给用户发点挖矿代码，出事还可以说是自己搞了啥中的招，毕竟别人也不都这样。

作者: Gome 时间: 2022-5-13 11:30
那hostcli 到底能用吗

作者: btpanel 时间: 2022-5-13 11:44

Gome 发表于 2022-5-13 11:30
那hostcli 到底能用吗

建议正规站不要用别的，违规站换其他的海外面板，官方就算有个修复，一般情况下他也不敢乱搞，毕竟公司有问题一告一个准。如开心版纯净版，都是些搞灰的大佬，善于隐藏自己，他们要是割韭菜，你报警也不一定抓的到的。

作者: btpanel 时间: 2022-5-13 22:58
另外奉劝一下开心版用户，别盲目跟风，有漏洞我发了，我有错吗？
去掉的教程都写出来了，你们改改去掉漏洞该咋用咋用，不好吗？
难道有漏洞我藏着不放就对了吗？发出来就是黑你们的神，还要弄死我？
一点脑子都不带？

作者: 浪听涛 时间: 2022-5-13 23:10
这届的mjj堪忧

认真你就输了

作者: btpanel 时间: 2022-5-13 23:12

浪听涛发表于 2022-5-13 23:10
这届的mjj堪忧

认真你就输了

没事有些人就是欠骂骂的都是些欠骂的人哈哈

作者: 小号专用马甲 时间: 2022-5-14 10:05
提示: 作者被禁止或删除内容自动屏蔽

作者: btpanel 时间: 2022-5-14 10:39

小号专用马甲发表于 2022-5-14 10:05
@司马南快出来咬楼主

我太硬咬不动

作者: yidaomm 时间: 2022-5-15 00:33
我是菜鸟，来学习技术的

作者: 代码小白 时间: 2022-5-15 10:09
之前叫的最欢的不就是你吗

欢迎光临全球主机交流论坛 (https://443502.xyz/)