vfaaa 发表于 2022-11-1 16:23:26

宝塔7.9.4之后的版本 新增上报后门 可以屏蔽吗?

今天对比了一下最新版7.9.4的宝塔面板(宝塔的开发习惯是即使是同一个版本号,也会不断更新文件)。发现了一个js文件比较可疑,经过分析后得出,是宝塔最新增加的上报后门,可以上报用户自己的IP和端口(非服务器的)

js文件路径:/panel/BTPanel/static/laydate/laydate.js

根据文件时间戳,可知是10月9日更新的。

这个文件本身是layer的日期显示组件,但是宝塔在最后加入了一段eval加密的js。这种js很好解密,以下是解密后的js:

完整代码粘贴不出来,会被论坛拦截,只能截图部分
https://vkceyugu.cdn.bspapp.com/VKCEYUGU-10b3891b-be67-4103-a60f-9da1d057470c/3471337c-6e47-47e7-90b6-003297f96389.png


可以看出是创建了个WebRTC连接,最终是拿到了用户自己的IP和端口(id和pid变量),并组合后进行了简单加密,赋值给cid,POST到接口/plugin?action=get_soft_list_thread

那么get_soft_list_thread是在干什么呢,找到py代码,是异步调用/script/flush_soft.py,然后这个文件里面是调用加密模块里面的一个方法PluginLoader.get_soft_list(cid)

下面反编译看看这个方法是具体干什么的
https://vkceyugu.cdn.bspapp.com/VKCEYUGU-10b3891b-be67-4103-a60f-9da1d057470c/e4e0e862-0c9f-479f-abcd-f39bff1c7b18.png

宝塔搞了个很有迷惑性的方法名,初看还以为是获取软件列表的,实际根本不是。方法内部只是把cid发送到接口https://cpi.bt.cn/get_soft_list,并未对返回值进行处理,可确定不是获取软件列表的。


之前已经有人爆料过宝塔的上报接口(site_task.py),为什么10月9日又新增了一个?可能是之前的接口只是上报一些统计的数据,并没有上报用户IP这种敏感信息。另外现在新增的这个更加隐蔽,通过迷惑性方法名、夹杂在公共js文件等手段进行隐藏。




虽然大部分时候宝塔都是被动拥有bug以及后门。这次它主动了。据loc ccclt大佬发帖证实,10月9日版的宝塔面板7.9.4中加入了上报后门。上报信息为用户实际IP地址(绕过代理)。使用的为WebRTC连接。就算你用v2等方式代理依然没用。


具体信息可见:算了loc现在是一个404网站。可以百度谷歌搜标题“bt最新版增加了新的上报后门,更加隐蔽”。


小白建议:


国内服务器,请无视。反正都是实名的。
国外服务器可以考虑屏蔽WebRTC。教程参考这个“官方的宝塔最新的后门,可以通过 WebRTC Control 插件临时屏蔽”。
好了,就这样吧。反正大家都知道的国内软件迟早会…… 。





















首先,网友po出了详细的宝塔搜集信息并上传到服务器的代码和操作流程,附带搜集信息的证据。


第一步、搜集安装包套服务器上面的域名,文件/class/public.py。并检测域名是否可用,/class/acme_v2.py。


宝塔面板被曝留后门搜集用户隐私信息,附宝塔上传用户信息紧急修复方案
第二步、收集面板操作日志,包括:时间,IP(*此处为操作面板用户的 IP),请求方式,请求路径,UA,操作动作等。


由/class/public.py搜集信息,保存到/www/server/panel/logs/request/目录。


保存格式为:["2022-05-06 01:58:10", "你的 IP(非服务器 IP):1000", "POST", "/login?", "用户 UA", "{}", 39]


宝塔面板被曝留后门搜集用户隐私信息,附宝塔上传用户信息紧急修复方案
第三步、由/script/site_task.py,打包发送搜集到的信息到宝塔服务器。


宝塔面板被曝留后门搜集用户隐私信息,附宝塔上传用户信息紧急修复方案
由/task/bt-task.c 定时执行.每一小时执行一次。


宝塔面板被曝留后门搜集用户隐私信息,附宝塔上传用户信息紧急修复方案
以上出处在https://blog.kieng.cn/2950.html。事情曝光后,宝塔连夜加班更新新版本:


宝塔面板被曝留后门搜集用户隐私信息,附宝塔上传用户信息紧急修复方案
网页调侃道:宝塔官方认识到了事态严重,并在第一时间做出整改,把1分钟一次上传用户信息修改为修改为2分钟一次。


刚好,我手里有一台装了bt的服务器,进去看看:


宝塔面板被曝留后门搜集用户隐私信息,附宝塔上传用户信息紧急修复方案
果然如爆料一样的中招了。


宝塔上传用户信息紧急修复方法:


老刘博客这里附一份紧急修复方法,当然这只是网友目前找到的后门,建议该换的还是得换了吧,信息安全很重要。除了宝塔面板,Linux下常见的web一键包运行环境和控制面板汇总


#将脚本文件清空
echo "" > /www/server/panel/script/site_task.py


#脚本文件添加写保护,防止内容被写回(即使是root,不取消保护也无法写入)
chattr +i /www/server/panel/script/site_task.py
#清空所有统计日志
rm -rf /www/server/panel/logs/request/*
#为request文件夹添加写保护,防止内容写入
chattr +i -R /www/server/panel/logs/request
推荐阅读

vfaaa 发表于 2022-11-1 16:24:34

本帖最后由 vfaaa 于 2022-11-1 15:29 编辑

5月份的版本新增的上报后门   之后10月9日 有个更隐蔽的方式又增加了上报后门。

防不胜防、
https://www.laoliublog.cn/22152.html
https://www.fybk.cc/post/2106.html
https://hostloc.com/thread-1090304-1-1.html
https://www.hostbbs.net/thread-127264-1-1.html
来源文章以上。

可以百度谷歌搜标题“bt最新版增加了新的上报后门,更加隐蔽”。



神様 发表于 2022-11-5 15:49:18

so 非官方的文件,是我自己编译的,无此接口!

vfaaa 发表于 2022-11-5 16:44:59

admin 发表于 2022-11-5 14:49
so 非官方的文件,是我自己编译的,无此接口!

www/server/panel/logs/request/

这个文件夹还是有记录文件

神様 发表于 2022-11-7 19:03:41

vfaaa 发表于 2022-11-5 15:44
www/server/panel/logs/request/

这个文件夹还是有记录文件

已 Update
页: [1]
查看完整版本: 宝塔7.9.4之后的版本 新增上报后门 可以屏蔽吗?