全球主机交流论坛

标题: bt最新版增加了新的上报后门，更加隐蔽 [打印本页]

作者: ccclt 时间: 2022-10-26 11:17
标题: bt最新版增加了新的上报后门，更加隐蔽
今天对比了一下最新版7.9.4的宝塔面板（宝塔的开发习惯是即使是同一个版本号，也会不断更新文件）。发现了一个js文件比较可疑，经过分析后得出，是宝塔最新增加的上报后门，可以上报用户自己的IP和端口（非服务器的）

js文件路径：/panel/BTPanel/static/laydate/laydate.js

根据文件时间戳，可知是10月9日更新的。

这个文件本身是layer的日期显示组件，但是宝塔在最后加入了一段eval加密的js。这种js很好解密，以下是解密后的js：

完整代码粘贴不出来，会被论坛拦截，只能截图部分

可以看出是创建了个WebRTC连接，最终是拿到了用户自己的IP和端口（id和pid变量），并组合后进行了简单加密，赋值给cid，POST到接口/plugin?action=get_soft_list_thread

那么get_soft_list_thread是在干什么呢，找到py代码，是异步调用/script/flush_soft.py，然后这个文件里面是调用加密模块里面的一个方法PluginLoader.get_soft_list(cid)

下面反编译看看这个方法是具体干什么的

宝塔搞了个很有迷惑性的方法名，初看还以为是获取软件列表的，实际根本不是。方法内部只是把cid发送到接口https://cpi.bt.cn/get_soft_list，并未对返回值进行处理，可确定不是获取软件列表的。

之前已经有人爆料过宝塔的上报接口（site_task.py），为什么10月9日又新增了一个？可能是之前的接口只是上报一些统计的数据，并没有上报用户IP这种敏感信息。另外现在新增的这个更加隐蔽，通过迷惑性方法名、夹杂在公共js文件等手段进行隐藏。

作者: 脱氧核糖核酸 时间: 2022-10-26 11:21
用国产吃牢饭

作者: pjk 时间: 2022-10-26 11:22
提示: 作者被禁止或删除内容自动屏蔽

作者: laianguo 时间: 2022-10-26 11:22
收集用户信息。这种骚操作是国产必备的方法了。

作者: MSN 时间: 2022-10-26 11:23
我支持宝塔，因为它可以吃免费饭。

作者: qwerttaa 时间: 2022-10-26 11:24

作者: 雁过拔毛的MJJ 时间: 2022-10-26 11:27
宝塔：让每一个有梦想的孩子吃上免费饭

作者: 超兽 时间: 2022-10-26 11:29
本帖最后由超兽于 2022-10-26 11:32 编辑

只用7.7.0开心版,这个版本好像只有上次/www/server/panel/logs/request/这个地方收集

作者: 大骚哥 时间: 2022-10-26 11:29

作者: cooioobb 时间: 2022-10-26 11:31
所以呢。国外就没有了？

作者: 小白鸡 时间: 2022-10-26 11:33
为了吃免费饭，支持宝塔

作者: image 时间: 2022-10-26 11:33
这技术贴不错

作者: Sooele 时间: 2022-10-26 11:33
有钱你就买定制离线版。
反正我用了两三年。屁事没有。
纯属个人偷懒，别跟我扯什么LNMP自己装。
我都会。就是想轻松。

作者: 栉风沐雨 时间: 2022-10-26 11:34
嗯，继续用宝塔，简单好用！

作者: Sooele 时间: 2022-10-26 11:36

栉风沐雨发表于 2022-10-26 11:34
嗯，继续用宝塔，简单好用！

反正都是内网用。无所谓。有本事来破！哈哈

作者: lbw 时间: 2022-10-26 11:36
正常！国内所有软件程序都会监控，就算它自己不想，上头也会逼着它去做的！

作者: Caxen 时间: 2022-10-26 11:39
提示: 作者被禁止或删除内容自动屏蔽

作者: zs123a 时间: 2022-10-26 11:45
很久没有用宝塔了，都是垃圾小鸡，省点内存。

作者: NRV 时间: 2022-10-26 11:52
还好换的早,用国产软件就要做好能吃上大锅饭的觉悟

作者: 今晚不吃饭 时间: 2022-10-26 11:58
无所谓，反正我就一个定时任务

微信推送的

作者: 和平精英 时间: 2022-10-26 11:58
aapanel暂时没找到，但还是准备迁移

作者: inighty 时间: 2022-10-26 11:59
宝塔：我建议你少管闲事

作者: Yzindex 时间: 2022-10-26 12:00
支持正义曝光！

作者: Chilsion 时间: 2022-10-26 12:02
感谢楼主爆料。

作者: mimiye 时间: 2022-10-26 12:04
国内正规站无所谓，其他的，有没有好用的推荐一下，可以小氪

作者: ecs 时间: 2022-10-26 12:04
提示: 作者被禁止或删除内容自动屏蔽

作者: pucc 时间: 2022-10-26 12:59
7.6.0 离线版，用到死

作者: louiejordan 时间: 2022-10-26 13:03
国内服务器无脑用宝塔就行了，别操那么多心，国外的服务器你还用宝塔啊？

作者: ccclt 时间: 2022-10-26 14:09
我刚才还疑惑，明明有上百种方法可以获取到用户IP，为什么非要写那么一大堆js通过WebRTC的方式来获取。原来这种方式可以无视代理，我这边试了即使是开了全局代理，也一样可以获取到真实IP而不是代理服务器IP！

作者: fatal 时间: 2022-10-26 14:17

ccclt 发表于 2022-10-26 14:09
我刚才还疑惑，明明有上百种方法可以获取到用户IP，为什么非要写那么一大堆js通过WebRTC的方式来获取。原来 ...

不知道firefox disable webrtc是否有用

作者: liugogal 时间: 2022-10-26 14:20

ccclt 发表于 2022-10-26 14:09
我刚才还疑惑，明明有上百种方法可以获取到用户IP，为什么非要写那么一大堆js通过WebRTC的方式来获取。原来 ...

对的，很多网站提供的获取真实ip就是通过webrtc

作者: 虎谷 时间: 2022-10-26 14:48

ccclt 发表于 2022-10-26 14:09
我刚才还疑惑，明明有上百种方法可以获取到用户IP，为什么非要写那么一大堆js通过WebRTC的方式来获取。原来 ...

python 编译后的二进制文件里面保不齐早就有获取ip并发送的方式了。。。

作者: xc55 时间: 2022-10-26 15:03
太可怕了，顶楼主

作者: xinchenmi 时间: 2022-10-26 15:06
在用7.9.4的开心版

作者: alifeline 时间: 2022-10-26 15:06
自己离线化了7.7.0 不准备用官方的版本了，就是某些系统部署nginx的时候有点问题

作者: zerone110 时间: 2022-10-26 15:09
lnmp yyds

作者: MSN 时间: 2022-10-26 15:12
之前有个仿宝塔的那个地址是什么来~

作者: 华盛顿 时间: 2022-10-26 15:15

Sooele 发表于 2022-10-26 11:33
有钱你就买定制离线版。
反正我用了两三年。屁事没有。
纯属个人偷懒，别跟我扯什么LNMP自己装。

这不是搜集不搜集你的信息的事儿，

关键是它会把你的IP跟你绑定，

等你换了服务器，别人用你之前的IP搞事情，相关部门会根据宝塔的IP记录，来请你喝茶，

这些事情之前论坛有人遭遇过

作者: lokinT 时间: 2022-10-26 15:22

和平精英发表于 2022-10-26 11:58
aapanel暂时没找到，但还是准备迁移

国际版应该不会搞这个吧

作者: 打包的香肠 时间: 2022-10-26 15:29

cooioobb 发表于 2022-10-26 11:31
所以呢。国外就没有了？

国外的收集了，大概是看不太懂中文，大多非商业网站收集了也没啥用吧。

作者: 战斗鸡 时间: 2022-10-26 15:40
本帖最后由战斗鸡于 2022-10-26 15:42 编辑

宝塔我只敢在tor下操作
这就是懒的代价

作者: 萌新の小白 时间: 2022-10-26 15:40
卧槽，中华民族优良传统发挥的淋漓尽致啊

作者: 虎谷 时间: 2022-10-26 15:55
我去验证了下，最新版本确实加入了这玩意，，，
突然发现挺恶心的了。。。

作者: 醋醋来啦 时间: 2022-10-26 15:57
怕上传用低版本的开心版啊

作者: 冷曦 时间: 2022-10-26 16:10
xp不是挺香

作者: hxuf 时间: 2022-10-26 16:11
真的是没底线了。

作者: 蓝洛水深 时间: 2022-10-26 16:21

ccclt 发表于 2022-10-26 14:09
我刚才还疑惑，明明有上百种方法可以获取到用户IP，为什么非要写那么一大堆js通过WebRTC的方式来获取。原来 ...

学到了啊

作者: chromev8 时间: 2022-10-26 16:25
宝塔：你是故意找茬是吧

作者: 冷心 时间: 2022-10-26 16:31
已经放弃bt了，宁可不建站也不用

作者: shunglay 时间: 2022-10-26 16:34
不用面板-。-无碍~

作者: babay631 时间: 2022-10-26 16:40
bt发送服务器ip到自己的数据库有什么用？

作者: oimo 时间: 2022-10-26 16:42

虎谷发表于 2022-10-26 14:48
python 编译后的二进制文件里面保不齐早就有获取ip并发送的方式了。。。

宝塔那些pyc可以直接反编译出来看的，而且浏览器不只能执行js吗

作者: liugogal 时间: 2022-10-26 16:47

babay631 发表于 2022-10-26 16:40
bt发送服务器ip到自己的数据库有什么用？

搞不好这个库就直接和公安联网呢

作者: babay631 时间: 2022-10-26 16:50

liugogal 发表于 2022-10-26 16:47
搞不好这个库就直接和公安联网呢

BT现在这么强的吗，都跟公安有合作关系了？

作者: Chilsion 时间: 2022-10-26 16:54
请求楼主查查宝塔国际版。

作者: XieZeBin 时间: 2022-10-26 17:53
filebrowser+docker+caddy，和垃圾宝塔说再见

作者: 3gW7d7jizJS 时间: 2022-10-26 18:57

babay631 发表于 2022-10-26 16:50
BT现在这么强的吗，都跟公安有合作关系了？

网安啥都管，觉得你有嫌疑就可以直接封你宽带，可以封你电话卡，可以封你银行卡，宝塔现在用户量那么大，各大云服务商都可以预装，要接入网安系统当然不意外。。

作者: hising 时间: 2022-10-26 20:07
就是为了方便管理服务器，随便报，又没违规文件，只要不偷文件就行

作者: dole 时间: 2022-10-26 21:21

作者: YukinoCoco 时间: 2022-10-26 21:23
浏览器一定要关闭 WebRTC，不过不推荐用这玩意儿
Oneinstack 它不香嘛

作者: 渣渣灰 时间: 2022-10-27 04:02

MSN 发表于 2022-10-26 15:12
之前有个仿宝塔的那个地址是什么来~

https://github.com/midoks/mdserver-web

作者: qianbi321 时间: 2022-10-27 11:55
用 lnmp.org不好吗？？

作者: mjj大军 时间: 2022-10-27 12:59
请大家继续使用宝塔，拥护宝塔哈哈哈

作者: M100700 时间: 2022-10-29 02:34

ccclt 发表于 2022-10-26 14:09
我刚才还疑惑，明明有上百种方法可以获取到用户IP，为什么非要写那么一大堆js通过WebRTC的方式来获取。原来 ...

我测试了，我的WEBRTC是开着的，但我用clash + torjan，测试显示WEBRTC并不能获取我真实IP

作者: raoqiang881124 时间: 2022-10-29 03:27
你说了那么不好，请问有哪个因为安装了宝塔进去吃牢饭的？

作者: yangken 时间: 2022-10-29 08:28
上报的宝塔官方的域名和ip是啥，一起墙了他

作者: 财迷哥 时间: 2022-11-2 15:42

华盛顿发表于 2022-10-26 15:15
这不是搜集不搜集你的信息的事儿，

关键是它会把你的IP跟你绑定，

那真是太倒霉了，看样子这工具也不能随便用啊
那么有没有宝塔的替代品

作者: Chilsion 时间: 2022-11-2 19:59
oneinstack

欢迎光临全球主机交流论坛 (https://443502.xyz/)