谷子猫博客
存储位置 /www/server/panel/logs/request/
对于后门并不是特别了解.所以可能有疏漏.但是现有这些是一定有的.
根据 GitHub 上开源的代码分析.
1.搜集服务器上面的域名.
/class/public.py
此处检测域名是否可用,由
/class/acme_v2.py
(签发 SSL 证书脚本)调用.
由于是服务器直接请求.会很容易获取域名对应绑定的 IP,从而搜集域名与 IP 的对应信息
2.收集面板操作日志,包括:时间,IP(*此处为操作面板用户的 IP),请求方式,请求路径,UA,操作动作等.
由
/class/public.py
搜集,保存到:
/www/server/panel/logs/request/
保存格式为:
["2022-05-06 01:58:10", "你的 IP(非服务器 IP):1000", "POST", "/login?", "用户 UA", "{}", 39]
由
/script/site_task.py
打包发送到宝塔服务器
由
/task/bt-task.c
复制代码
定时执行.每一小时执行一次.
暂时已知的就是这些.
还有就是某些页面可能会请求宝塔的图片.通过 referer 等信息也可以得到某些信息.和绑定手机号之类的就不说了.
检查域名和收集操作信息属实没必要.不知道是什么意思.
-----------------------------------------------------------------
来自网上wulabing的广告版
echo "" > /www/server/panel/script/site_task.py chattr +i /www/server/panel/script/site_task.py rm -rf /www/server/panel/logs/request/* chattr +i -R /www/server/panel/logs/request四行的含义分别是
将脚本文件清空
脚本文件添加写保护,防止内容被写回(即使是root,不取消保护也无法写入)
清空所有统计日志
为request文件夹添加写保护,防止内容写入
第二条报错,前面加sudo即可。
出处:https://blog.kieng.cn/2950.html
飞醋 1天前 说
hasse 3天前 说
发表评论