删库塔国内又名宝塔,继其一次更新后由于错误配置pma文件权限被提权后导致大量用户数据库遭删除,此次事件过后其名声在业内已经岌岌可危,但因为其简单方便的GUI还是有大量的小白/懒人喜欢使用。

而近日又传出删库塔收集用户隐私的消息,先来看一篇帖子:

继续锤宝塔面板:site_task.py疯狂收集数据

原楼主经过测试表示:“离线模式、关闭监控、关闭面板等所有措施都不会让site_task.py停止工作,并且是主动受控于删库塔的收集”。那么这个python脚本又是什么呢?这里有一篇文章最先指出了删库塔会收集包括但不限于如下信息保存在/www/server/panel/logs/request/目录下由该脚本打包并上传到删库塔的服务器。

关于site_task.py脚本的说明等

["2022-05-06 01:58:10", "你的登录IP(非服务器 IP):1000", "POST", "/login?", "用户 UA", "{}", 39]

在一台debian机器上安装了删库塔后发现问题复现,json文件中收集的内容如下(其中127.0.0.1IP已为本人公网IP)可以看到确实如原博主所说删库塔收集了包括但不限于:登录IP,访问路径,请求类型,用户UA等。

["2022-06-09 10:42:20", "127.0.0.1:10141", "GET", "/?", "Mozilla/5.0 (iPhone; CPU iPhone OS 16_0 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/16.0 Mobile/15E148 Safari/604.1", "{}", 7]
["2022-06-09 10:42:21", "127.0.0.1:10141", "GET", "/login?", "Mozilla/5.0 (iPhone; CPU iPhone OS 16_0 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/16.0 Mobile/15E148 Safari/604.1", "{}", 3]
["2022-06-09 10:42:22", "127.0.0.1:10142", "GET", "/public?name=app&fun=login_qrcode", "Mozilla/5.0 (iPhone; CPU iPhone OS 16_0 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/16.0 Mobile/15E148 Safari/604.1", "{}", 3]
["2022-06-09 10:42:25", "127.0.0.1:10143", "GET", "/?", "Mozilla/5.0 (iPhone; CPU iPhone OS 16_0 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/16.0 Mobile/15E148 Safari/604.1", "{}", 3]
["2022-06-09 16:17:50", "127.0.0.1:29725", "GET", "/?", "Mozilla/5.0 (iPhone; CPU iPhone OS 16_0 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/16.0 Mobile/15E148 Safari/604.1", "{}", 1]
["2022-06-09 16:17:50", "127.0.0.1:29725", "GET", "/login?", "Mozilla/5.0 (iPhone; CPU iPhone OS 16_0 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/16.0 Mobile/15E148 Safari/604.1", "{}", 2]
["2022-06-09 16:17:51", "127.0.0.1:29725", "GET", "/code?", "Mozilla/5.0 (iPhone; CPU iPhone OS 16_0 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/16.0 Mobile/15E148 Safari/604.1", "{}", 0]
["2022-06-09 16:17:51", "127.0.0.1:29725", "GET", "/public?name=app&fun=login_qrcode", "Mozilla/5.0 (iPhone; CPU iPhone OS 16_0 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/16.0 Mobile/15E148 Safari/604.1", "{}", 2]
["2022-06-09 16:17:59", "127.0.0.1:29726", "POST", "/login?", "Mozilla/5.0 (iPhone; CPU iPhone OS 16_0 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/16.0 Mobile/15E148 Safari/604.1", "{}", 1086]
["2022-06-09 16:18:00", "127.0.0.1:29725", "GET", "/?", "Mozilla/5.0 (iPhone; CPU iPhone OS 16_0 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/16.0 Mobile/15E148 Safari/604.1", "{}", 8]
["2022-06-09 16:18:00", "127.0.0.1:29726", "GET", "/code?", "Mozilla/5.0 (iPhone; CPU iPhone OS 16_0 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/16.0 Mobile/15E148 Safari/604.1", "{}", 1]

其更是会每日不定时备份成gz压缩包以供上传,如下所示路径和上述中/www/server/panel/logs/request一致

image.png

该事件经发酵后在各种圈子广泛传播,大量相关人员表示以后将不在会使用宝塔及其周边产品。

推荐使用以下替代宝塔面板

命令行操作:

1.oneinstack

2.军哥的lnmp一键包
(以上两个脚本也被爆出挂同一木马:地址
国产一键包慎用!,建议需要的人手动安装环境。
可视化:

1.cpanel

2.宝塔纯净版(剥离了所有与宝塔官方的通信、上报、下发;并且不与本站纯净版服务器通信)。

当然了,宝塔收集用户隐私信息是可以理解的,毕竟管理层也不想再被警察破门而入喊抱头蹲下,那么堡塔作为一个小公司给公安提供搜索接口是可以预见并确定的。虽然有小部分人可能不在意隐私风险,但显然把服务器的控制权这么重要的东西交给一个表里不一(没错宝塔曾明确表示过不会收集?)的闭源面板是非常不明智的。

最后修改:2023 年 10 月 15 日
© 允许规范转载
如果觉得我的文章对你有用,请随意赞赏