今天对比了一下最新版7.9.4的宝塔面板(宝塔的开发习惯是即使是同一个版本号,也会不断更新文件)。
发现了一个js文件比较可疑,经过分析后得出,是宝塔最新增加的上报后门,可以上报用户自己的IP和端口(非服务器的)
js文件路径:/panel/BTPanel/static/laydate/laydate.js
根据文件时间戳,可知是10月9日更新的。
这个文件本身是layer的日期显示组件,但是宝塔在最后加入了一段eval加密的js。这种js很好解密,以下是解密后的js:
截图部分
bt宝塔最新版增加了上报后门!

3471337c-6e47-47e7-90b6-003297f96389.png


可以看出是创建了个WebRTC连接,最终是拿到了用户自己的IP和端口(id和pid变量),并组合后进行了简单加密,赋值给cid,POST到接口/plugin?action=get_soft_list_thread
那么get_soft_list_thread是在干什么呢,找到py代码,是异步调用/script/flush_soft.py,然后这个文件里面是调用加密模块里面的一个方法PluginLoader.get_soft_list(cid)
下面反编译看看这个方法是具体干什么的
bt宝塔最新版增加了上报后门!

e4e0e862-0c9f-479f-abcd-f39bff1c7b18.png


宝塔搞了个很有迷惑性的方法名,初看还以为是获取软件列表的,实际根本不是。
方法内部只是把cid发送到接口https://cpi.bt.cn/get_soft_list,并未对返回值进行处理,可确定不是获取软件列表的。
之前已经有人爆料过宝塔的上报接口(site_task.py),为什么10月9日又新增了一个?
可能是之前的接口只是上报一些统计的数据,并没有上报用户IP这种敏感信息。
另外现在新增的这个更加隐蔽,通过迷惑性方法名、夹杂在公共js文件等手段进行隐藏。
明明有上百种方法可以获取到用户IP,为什么非要写那么一大堆js通过WebRTC的方式来获取。
原来这种方式可以无视代{过}{滤}理,我这边试了即使是开了全局代{过}{滤}理,也一样可以获取到真实IP而不是代{过}{滤}理服务器IP!
简单解决方法:
首先可以开代{过}{滤}理,检测下自己的的Web RTC是否泄露
https://ip.voidsec.com
如果Web RTC:是空就不用管了
如果Web RTC:后边显示的是你本地的IP,那就按以下教程设置下
Firefox浏览器禁用WebRTC的方法是:在浏览器上输入:about:config。之后搜索:media.peerconnection.enabled。找到它后双击,将其改成 false 即可。
Chrome浏览器禁用WebRTC的方法是:在Chrome应用商店里,安装一个名为WebRTC Leak Prevent的扩展, 然后设置成Disable就行了
虽然官网解释是授权。那大家自行判断。技术分享和分析。
我也没有抹黑bt宝塔那不好。如有违规.可删帖!
免费的bt宝塔一直都很不错!方便。快捷。
支持正版bt宝塔 !!!
使用盗版、破解版bt宝塔可能存在更可怕的东西。
标签:
bt宝塔最新版增加了上报后门!

免责声明:本站文章均来自网站采集或用户投稿,网站不提供任何软件下载或自行开发的软件! 如有用户或公司发现本站内容信息存在侵权行为,请邮件告知! 858582#qq.com
评论“bt宝塔最新版增加了上报后门!”
暂无“bt宝塔最新版增加了上报后门!”评论...

《魔兽世界》大逃杀!60人新游玩模式《强袭风暴》3月21日上线

暴雪近日发布了《魔兽世界》10.2.6 更新内容,新游玩模式《强袭风暴》即将于3月21 日在亚服上线,届时玩家将前往阿拉希高地展开一场 60 人大逃杀对战。

艾泽拉斯的冒险者已经征服了艾泽拉斯的大地及遥远的彼岸。他们在对抗世界上最致命的敌人时展现出过人的手腕,并且成功阻止终结宇宙等级的威胁。当他们在为即将于《魔兽世界》资料片《地心之战》中来袭的萨拉塔斯势力做战斗准备时,他们还需要在熟悉的阿拉希高地面对一个全新的敌人──那就是彼此。在《巨龙崛起》10.2.6 更新的《强袭风暴》中,玩家将会进入一个全新的海盗主题大逃杀式限时活动,其中包含极高的风险和史诗级的奖励。

《强袭风暴》不是普通的战场,作为一个独立于主游戏之外的活动,玩家可以用大逃杀的风格来体验《魔兽世界》,不分职业、不分装备(除了你在赛局中捡到的),光是技巧和战略的强弱之分就能决定出谁才是能坚持到最后的赢家。本次活动将会开放单人和双人模式,玩家在加入海盗主题的预赛大厅区域前,可以从强袭风暴角色画面新增好友。游玩游戏将可以累计名望轨迹,《巨龙崛起》和《魔兽世界:巫妖王之怒 经典版》的玩家都可以获得奖励。