宝塔国内版已知收集的隐私信息

famen

对于 PY 并不是特别了解.所以可能有疏漏.但是现有这些是一定有的.
根据 GitHub 上开源的代码分析.
1.搜集服务器上面的域名.

1. /class/public.py

复制代码

此处检测域名是否可用,由

1. /class/acme_v2.py

复制代码

(签发 SSL 证书脚本)调用.

由于是服务器直接请求.会很容易获取域名对应绑定的 IP,从而搜集域名与 IP 的对应信息

2.收集面板操作日志,包括:时间,IP(*此处为操作面板用户的 IP),请求方式,请求路径,UA,操作动作等.
由

1. /class/public.py

复制代码

搜集,保存到:

1. /www/server/panel/logs/request/

复制代码

保存格式为:

1. ["2022-05-06 01:58:10", "你的 IP(非服务器 IP):1000", "POST", "/login?", "用户 UA", "{}", 39]

复制代码

由

1. /script/site_task.py

复制代码

打包发送到宝塔服务器

由

1. /task/bt-task.c

复制代码

定时执行.每一小时执行一次.

暂时已知的就是这些.
还有就是某些页面可能会请求宝塔的图片.通过 referer 等信息也可以得到某些信息.和绑定手机号之类的就不说了.

检查域名和收集操作信息属实没必要.不知道是什么意思.

出处:https://blog.kieng.cn/2950.html

famen

宝塔连夜更新
https://hostloc.wiki/thread-1015639-1-1.html

宝塔后门
https://hostloc.wiki/thread-1015644-1-1.html

Dream520

每一小时执行一次？尼玛，用恶意的眼光看待的话，不是木马吗？？？

ssjoy

haozi 发表于 2022-5-11 21:30
国内机房流量都监控的，正规建站怕啥。

你这个言论是比较经典的，就跟显示IP归属地如出一辙
现在是IP
明天是精确到县城
后天是精确到你门牌号
大后天直接显示你名字和肖像
看你还怎么说

有人说美帝监控？美帝都监控到你中国来了？

好的事情不说美帝，坏的就开始经典比烂，是何居心，关键是美帝有没有监控我也不知道啊

haozi

国内机房流量都监控的，正规建站怕啥。

Jetstream_Sam

这算不算非法入侵计算机系统罪

总是吵架的猪

这个代码也不是打包发给宝塔的啊
我怀疑楼主看不懂代码把

Jonathan9527

在做的小站长们 我劝你们善良 一个都跑不了
秋后算账

Cstudent

幸好我从来不碰宝塔这种东西 心疼那些站长等于全身赤裸站着 干的那点事情全在某数据库里存着 等哪天有关部门要冲业绩了 啧啧 真是随便拿捏

靓坤

经典nt言论: 正经做站就没有什么好怕的

xhemj

好牛，期待后文

宋喆

再接再厉！

riofredinand

完犊子了 国际版估计也跑不了

main

这狗比太狠了。

战斗鸡

感謝

hyd

占楼

wlc1984

这只是以前的代码，说不定改了呢？






改得搜集更多了
不过除了bt也不会用别的啊