2023 更新: 最新发现, 就算你面板用的开心版或者其他去后门版, 从宝塔安装的插件也还是会有上传隐私的脚本!
替代宝塔面板,国外最强大的免费开源面板 virtualmin 安装教程
比如:安装 memcached 插件时,
http://download.bt.cn/install/0/memcached.sh
第 247 行 开始会下载 http://download.bt.cn/tools/check.sh
宝塔的后门总结起来有三点:
1、日志收集、上传
与其关注本地日志你应该自己找下宝塔是在哪里上传的日志。
/www/server/panel/script/site_task.py
# 面板日志分析统计下面就是上传日志的代码
2、发送并验证域名
/www/server/panel/class/public.py
def cloud_check_domain(domain)这个代码看起来像是申请证书使用的
处理方法:将相关代码改为
result = ""3、检查面板文件完整性,每隔 10 分钟执行一次 修复面板文件
www/server/panel/task.py
def check_files_panel()官方标注为# 检查面板文件完整性 每隔 10 分钟执行一次
代码工作原理为 执行 /www/server/panel/script/check_files.py
获取接口返回数据,然后做了一些判断,符合要求则
替换或者写入到 /www/server/panel/class/ 下的文件内
然后重启面板
宝塔开心脚本
如果你想使用 宝塔 7.7 原版 + 开心脚本 + 优化脚本, 脚本在下面(风险自辨)
# 宝塔面板 7.7 原版第三方存档
纯原版 1:curl -sSO https://raw.githubusercontent.com/zhucaidan/btpanel-v7.7.0/main/install/install_panel.sh && bash install_panel.sh
纯原版 2:wget -O install.sh http://f.cccyun.cc/bt/install_6.0.sh && bash install.sh
升级 (降级) 到 7.7 命令:curl http://f.cccyun.cc/bt/update6.sh|bash
<!– 宝塔 7.7 原版一键开心脚本 –>
<!– 手动解锁宝塔所有付费插件为永不过期 –>
文件路径:www/server/panel/data/plugin.json
搜索字符串:”endtime”: -1 全部替换为 “endtime”: 999999999999
<!– 手动阻止解锁插件后自动修复为免费版 –>
chattr +i /www/server/panel/data/plugin.json
宝塔 linux 工具箱优化脚本
一键修改宝塔面板模板、去除强制登陆、一键修复面板、一键更换 yum 源、清除系统垃圾缓存、系统优化等
# 宝塔面板一键优化补丁 - 彩虹
1. 去除宝塔面板强制绑定账号
2. 去除各种删除操作时的计算题与延时等待
3. 去除创建网站自动创建的垃圾文件(index.html、404.html、.htaccess)
4. 关闭未绑定域名提示页面,防止有人访问未绑定域名直接看出来是用的宝塔面板
5. 关闭活动推荐与在线客服
6. 去除自动校验文件与上报信息定时任务
7. 去除面板日志与网站绑定域名上报
适用 7.7 版本:wget -O optimize.sh http://f.cccyun.cc/bt/optimize.sh && bash optimize.sh
适用 7.9 版本:wget -O optimize.sh http://f.cccyun.cc/bt/optimize_new.sh && bash optimize.sh
您的评论中必须包含汉字!