本帖最后由 世态炎凉S冷暖自 于 2022-10-27 15:10 编辑 今天对比了一下最新版7.9.4的宝塔面板(宝塔的开发习惯是即使是同一个版本号,也会不断更新文件)。
发现了一个js文件比较可疑,经过分析后得出,是宝塔最新增加的上报后门,可以上报用户自己的IP和端口(非服务器的)js文件路径:/panel/BTPanel/static/laydate/laydate.js根据文件时间戳,可知是10月9日更新的。这个文件本身是layer的日期显示组件,但是宝塔在最后加入了一段eval加密的js。这种js很好解密,以下是解密后的js:截图部分 宝塔搞了个很有迷惑性的方法名,初看还以为是获取软件列表的,实际根本不是。 方法内部只是把cid发送到接口https://cpi.bt.cn/get_soft_list,并未对返回值进行处理,可确定不是获取软件列表的。之前已经有人爆料过宝塔的上报接口(site_task.py),为什么10月9日又新增了一个? 可能是之前的接口只是上报一些统计的数据,并没有上报用户IP这种敏感信息。 另外现在新增的这个更加隐蔽,通过迷惑性方法名、夹杂在公共js文件等手段进行隐藏。 明明有上百种方法可以获取到用户IP,为什么非要写那么一大堆js通过WebRTC的方式来获取。 原来这种方式可以无视代{过}{滤}理,我这边试了即使是开了全局代{过}{滤}理,也一样可以获取到真实IP而不是代{过}{滤}理服务器IP! 简单解决方法: 首先可以开代{过}{滤}理,检测下自己的的Web RTC是否泄露 https://ip.voidsec.com 如果Web RTC:是空就不用管了 如果Web RTC:后边显示的是你本地的IP,那就按以下教程设置下 Firefox浏览器禁用WebRTC的方法是:在浏览器上输入:about:config。之后搜索:media.peerconnection.enabled。找到它后双击,将其改成 false 即可。 Chrome浏览器禁用WebRTC的方法是:在Chrome应用商店里,安装一个名为WebRTC Leak Prevent的扩展, 然后设置成Disable就行了 虽然官网解释是授权。那大家自行判断。技术分享和分析。我也没有抹黑bt宝塔那不好。如有违规.可删帖!免费的bt宝塔一直都很不错!方便。快捷。 支持正版bt宝塔 !!! 使用盗版、破解版bt宝塔可能存在更可怕的东西。 免费评分
本帖被以下淘专辑推荐:
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
举报 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
江湖故人 发表于 2022-10-26 17:04 您的这种想法我不能认同,大家都知道彼此长得有啥,为啥夏天那么热还要穿着衣服?您一定没有做坏事,那么您可不可以把您个人的姓名、身份证号、电话、住址、家人的姓名电话告诉我啊?或者告诉版主? 免费评分 | |
moonswamp 发表于 2022-10-26 17:20 你愿意你信息被一个不知名的三方公司拿着?今天能偷你ip,你确定明天不能偷你数据库?有一就有二,纵容只会让它越来越没有底线 | |
丶小蓝丶 发表于 2022-10-26 15:44 卖授权,必要时候打击黑灰产业,应该就这些目的 | |
但是宝塔在最后加入了一段eval加密的js。这种js很好解密,以下是解密后的js: | |
comcn 发表于 2022-10-26 15:48 1、打开浏览器控制台; 2、调到Console; 3、复制代码,粘贴; 4、删除“eval”这四个字符; 5、回车。 免费评分 | |
mingren1993 发表于 2022-10-26 16:53 之前用过一次,感觉还挺好。 结果3天后,腾讯云报,好多次异地尝试登录,吓得我直接重装系统,更换ip。 没有这种危险提示了 | |