全球主机交流论坛

标题: 宝塔国内版已知收集的隐私信息 [打印本页]

作者: famen 时间: 2022-5-11 21:06
标题: 宝塔国内版已知收集的隐私信息
对于 PY 并不是特别了解.所以可能有疏漏.但是现有这些是一定有的.
根据 GitHub 上开源的代码分析.

1.搜集服务器上面的域名.

/class/public.py

复制代码

此处检测域名是否可用,由

/class/acme_v2.py

复制代码

(签发 SSL 证书脚本)调用.

由于是服务器直接请求.会很容易获取域名对应绑定的 IP,从而搜集域名与 IP 的对应信息

2.收集面板操作日志,包括:时间,IP(*此处为操作面板用户的 IP),请求方式,请求路径,UA,操作动作等.
由

/class/public.py

复制代码

搜集,保存到:

/www/server/panel/logs/request/

复制代码

保存格式为:

["2022-05-06 01:58:10", "你的 IP(非服务器 IP):1000", "POST", "/login?", "用户 UA", "{}", 39]

复制代码

由

/script/site_task.py

复制代码

打包发送到宝塔服务器

由

/task/bt-task.c

复制代码

定时执行.每一小时执行一次.

暂时已知的就是这些.
还有就是某些页面可能会请求宝塔的图片.通过 referer 等信息也可以得到某些信息.和绑定手机号之类的就不说了.

检查域名和收集操作信息属实没必要.不知道是什么意思.

出处:https://blog.kieng.cn/2950.html

作者: xhemj 时间: 2022-5-11 21:09
好牛，期待后文

作者: 宋喆 时间: 2022-5-11 21:09
再接再厉！

作者: Jonathan9527 时间: 2022-5-11 21:10
在做的小站长们我劝你们善良一个都跑不了
秋后算账

作者: Dream520 时间: 2022-5-11 21:12
每一小时执行一次？尼玛，用恶意的眼光看待的话，不是木马吗？？？

作者: riofredinand 时间: 2022-5-11 21:12
完犊子了国际版估计也跑不了

作者: main 时间: 2022-5-11 21:14
这狗比太狠了。

作者: 战斗鸡 时间: 2022-5-11 21:15
感謝

作者: hyd 时间: 2022-5-11 21:16
占楼

作者: wlc1984 时间: 2022-5-11 21:17
这只是以前的代码，说不定改了呢？

改得搜集更多了

不过除了bt也不会用别的啊

作者: 浪听涛 时间: 2022-5-11 21:17
继续扒

精神上支持你

作者: airplayx 时间: 2022-5-11 21:18
国人的吃相真的挺难看

作者: rem 时间: 2022-5-11 21:18

国内产品永远都这德性

作者: rockszq 时间: 2022-5-11 21:19
用开心版能躲过吗

作者: 51Yo 时间: 2022-5-11 21:19
已经改用DirectAdmin，付费也比这个好

作者: 优质节点 时间: 2022-5-11 21:20

作者: 明昆 时间: 2022-5-11 21:21
时间,IP(*此处为操作面板用户的 IP),请求方式,请求路径,UA,操作动作

有点过分

作者: imgood 时间: 2022-5-11 21:21
肯定还会扫描服务器硬盘文件

作者: 本人马保国 时间: 2022-5-11 21:21

rem 发表于 2022-5-11 21:18
国内产品永远都这德性

不这德行你就别干了，人在江湖身不由己

作者: yesdage 时间: 2022-5-11 21:22
都只能用开心版了么

作者: 你是人 时间: 2022-5-11 21:23
这不是常识吗、、、

作者: qq1098699915 时间: 2022-5-11 21:24

rockszq 发表于 2022-5-11 21:19
用开心版能躲过吗

实话告诉你不能顶多就是换个监控你的而已

作者: rem 时间: 2022-5-11 21:24

本人马保国发表于 2022-5-11 21:21
不这德行你就别干了，人在江湖身不由己

那倒是大环境意识形态决定的

作者: xc55 时间: 2022-5-11 21:26
顶太可怕了

作者: 史蒂夫乔布斯 时间: 2022-5-11 21:29
早就放弃宝塔了换用lnmp了

作者: haozi 时间: 2022-5-11 21:30
国内机房流量都监控的，正规建站怕啥。

作者: b66667777 时间: 2022-5-11 21:44
已阅

作者: qq1098699915 时间: 2022-5-11 21:44

yesdage 发表于 2022-5-11 21:22
都只能用开心版了么

开心版也不用想了收集域名的接口被劫持到他自己的服务器上了也就是说从公司监控换了一个人监控你而已

作者: linhai 时间: 2022-5-11 21:46

riofredinand 发表于 2022-5-11 21:12
完犊子了国际版估计也跑不了

国际版放心吧，敢上传隐私数据国外早起诉了。

作者: 浪听涛 时间: 2022-5-11 21:47
用国际版不就好了

作者: 箴扰 时间: 2022-5-11 21:49
欢迎来用命令行

作者: Mgle 时间: 2022-5-11 21:49
国际版？？都是一家主子，换啥版本都不行。

作者: louiejordan 时间: 2022-5-11 21:52
国内鸡用不用宝塔都一样，你也不用担心什么，反正都是活在眼皮底下，国外鸡自己考虑

作者: qq6825995 时间: 2022-5-11 22:04
自己开心，然后把插件都本地化

作者: hotket 时间: 2022-5-11 22:05
棱镜国

，这不就是贼吗

作者: MSN 时间: 2022-5-11 22:06
欢迎转到
FastPanel

作者: 金彩 时间: 2022-5-11 22:08
还是lnmp吧

作者: qq6825995 时间: 2022-5-11 22:10
插件本地化思路，自己开心后装个网站监控报表。绑定1.com域名。然后下载宝塔安装包把宝塔的域名改成1.com。1.com后台就可以看见文件路径了。

作者: htazq 时间: 2022-5-11 22:10
技术贴帮顶！

/**
* 活着的意义从哪儿来？
* 找啊，活下去的理由
* 不断颠覆，不断否定
* 没有一个一劳永逸的理由的
*
*/

作者: MSN 时间: 2022-5-11 22:14
/task/bt-task.c
/script/site_task.py
都是在哪个目录下

作者: Jetstream_Sam 时间: 2022-5-11 22:16
这算不算非法入侵计算机系统罪

作者: caizi 时间: 2022-5-11 22:18
从来都是命令行，离开命令行，我啥都不会。

用这些壳，我还要去学习一遍这类壳的使用方法不成？

作者: 表妹 时间: 2022-5-11 22:19
提示: 作者被禁止或删除内容自动屏蔽

作者: 表妹 时间: 2022-5-11 22:20
提示: 作者被禁止或删除内容自动屏蔽

作者: MSN 时间: 2022-5-11 22:22

表妹发表于 2022-5-11 07:20

大佬尾号8888牛逼了

作者: MSN 时间: 2022-5-11 22:25
果然在这个目录下面发现已经压缩好的日志
www/server/panel/logs/request

作者: ssjoy 时间: 2022-5-11 22:33
本帖最后由 ssjoy 于 2022-5-12 12:24 编辑

haozi 发表于 2022-5-11 21:30
国内机房流量都监控的，正规建站怕啥。

你这个言论是比较经典的，就跟显示IP归属地如出一辙
现在是IP
明天是精确到县城
后天是精确到你门牌号
大后天直接显示你名字和肖像
看你还怎么说

有人说美帝监控？美帝都监控到你中国来了？

好的事情不说美帝，坏的就开始经典比烂，是何居心，关键是美帝有没有监控我也不知道啊

作者: Cstudent 时间: 2022-5-11 22:33
幸好我从来不碰宝塔这种东西心疼那些站长等于全身赤裸站着干的那点事情全在某数据库里存着等哪天有关部门要冲业绩了啧啧真是随便拿捏

作者: qq53988545 时间: 2022-5-11 22:35
太太太牛了bt

作者: 龙笑天 时间: 2022-5-11 22:40
涨姿势了...

作者: 江南女子 时间: 2022-5-11 22:55
2022-05-11.json。这个里面全是你登入的ip

作者: theoneman 时间: 2022-5-11 23:05
完犊子

作者: 崽崽 时间: 2022-5-11 23:08
提示: 作者被禁止或删除内容自动屏蔽

作者: theoneman 时间: 2022-5-11 23:17
免费版5.9 检查了一下没有上述代码

作者: canger 时间: 2022-5-11 23:18

彩虹的一键优化补丁
https://blog.cccyun.cn/post-431.html
btpanel_tools的面板优化与强制离线功能
https://gitee.com/gacjie/btpanel_tools

作者: 月の天使 时间: 2022-5-11 23:20
上传能理解，一个小时一次就不理解了，这是采集证据呢？

作者: 日美眉 时间: 2022-5-11 23:20
提示: 作者被禁止或删除内容自动屏蔽

作者: envoy 时间: 2022-5-11 23:26
懂的都自己找开源网站软件自建，绝不靠第3方合集软件
用宝塔就得有被大数据收集的后果

也就是图方便的后果一样道理

作者: qviqvi 时间: 2022-5-11 23:27
看了一下，aapanel好像不一样，是不是就安全了？

作者: abc.xyz 时间: 2022-5-11 23:31
本帖最后由 abc.xyz 于 2022-5-11 23:49 编辑

/task/bt-task.c
就这个文件没找到。。。

大致看了下，大包肯定是打包了，上传就不一定，是 /script/site_task.py 里面的这段是上传日志的吗？

prin t (public. HttpPost('https://www.bt.cn/api/panel/model_total',pdata))

复制代码

小白也不是很懂

作者: abbyu 时间: 2022-5-11 23:34

linhai 发表于 2022-5-11 21:46
国际版放心吧，敢上传隐私数据国外早起诉了。

想多了，宝塔根本没有在境外成立公司，你告谁。

作者: xlshuang 时间: 2022-5-11 23:39

rockszq 发表于 2022-5-11 21:19
用开心版能躲过吗

躲不过，看见也有存在

作者: 燕十三丶 时间: 2022-5-11 23:41
有图有真相好贴

作者: famen 时间: 2022-5-11 23:50
本帖最后由 famen 于 2022-5-12 00:01 编辑

宝塔连夜更新
https://fd.vvwvv.eu.org/thread-1015639-1-1.html

宝塔后门
https://fd.vvwvv.eu.org/thread-1015644-1-1.html

作者: DaoChen 时间: 2022-5-12 00:00
快用oneinstack吧

作者: 总是吵架的猪 时间: 2022-5-12 00:25
这个代码也不是打包发给宝塔的啊
我怀疑楼主看不懂代码把

作者: babi 时间: 2022-5-12 00:38
一直用lnmp，没有烦恼

作者: rexmax520 时间: 2022-5-12 02:32
直接换了，啥也不说了

作者: 小号专用马甲 时间: 2022-5-12 04:43
提示: 作者被禁止或删除内容自动屏蔽

作者: lijihede 时间: 2022-5-12 08:33
好帖子！

作者: net909 时间: 2022-5-12 09:57
/task/bt-task.c
这个是啥，没找到啊

作者: kkdxhs 时间: 2022-5-12 10:39
国内产品这种操作不是很正常？

作者: 司马南 时间: 2022-5-12 10:40
提示: 作者被禁止或删除内容自动屏蔽

作者: liuli 时间: 2022-5-12 11:15

ssjoy 发表于 2022-5-11 22:33
你这个言论是比较经典的，就跟显示IP归属地如出一辙
现在是IP
明天是精确到县城

滑坡谬误？事实如此罢了。SIM卡实名、显示IP、下一步是啥？

作者: 靓坤 时间: 2022-5-12 11:47
经典nt言论: 正经做站就没有什么好怕的

作者: aeox 时间: 2022-5-12 12:54

Jetstream_Sam 发表于 2022-5-11 22:16
这算不算非法入侵计算机系统罪

装的时候你同意了

作者: yellow哞哞 时间: 2022-5-12 16:51

abc.xyz 发表于 2022-5-11 23:31
/task/bt-task.c
就这个文件没找到。。。

打印上传后的反馈。

作者: wxzp 时间: 2022-5-12 17:27
不用

作者: btpanel 时间: 2022-5-13 08:13

总是吵架的猪发表于 2022-5-12 00:25
这个代码也不是打包发给宝塔的啊
我怀疑楼主看不懂代码把

我这里做了代码分析，你可以看一下https://fd.vvwvv.eu.org/thread-1015859-1-1.html

作者: 气味 时间: 2022-5-15 21:57

欢迎光临全球主机交流论坛 (https://fd.vvwvv.eu.org/)