设为首页
收藏本站
切换到宽版
用户名
Email
自动登录
找回密码
密码
登录
注册
快捷导航
论坛
BBS
排行榜
Ranklist
搜索
搜索
热搜:
香港vps
香港VPS
amh
机柜
vps
分销
VPS
域名出售
火车头
云主机
不限流量
香港服务器
美国服务器
香港
全能空间
whmcs
digitalocean
本版
帖子
用户
MJJ论坛
»
论坛
›
主机综合交流
›
美国VPS综合讨论
›
详细说明官方版宝塔的自动更新机制
返回列表
查看:
2036
|
回复:
9
详细说明官方版宝塔的自动更新机制
[复制链接]
ccclt
ccclt
当前离线
积分
2417
发表于 2024-1-25 17:03:34
|
显示全部楼层
|
阅读模式
官方版宝塔实际上是有个自动更新机制,可以在不经过你同意的情况下自动更新你服务器的面板文件。
触发入口是 task.py 和 check_msg.py 的 PluginLoader.daemon_panel() 方法,通过BTTask进程10分钟调用1次
该方法内部执行 PluginLoader.so 里面的 check_panel_auth 方法
该方法内先请求 https://check.bt.cn/api/panel/check_files 检查是否有需要更新的文件,POST参数有“面板版本、绑定账号ID、IP地址”
大多数情况都会返回"当前版本无需校验文件完整性"
如果有返回,则返回内容是一个[文件名、文件MD5、文件内容]的列表,然后会逐一对比文件MD5,MD5不一致的则写入新的文件内容。
如果有写入文件的操作,则在最后执行bt restart重启面板
此自动更新机制应该是为了在爆出高危漏洞统一更新面板文件,避免出现像之前那样漏洞修复慢的情况。但是也不排除被人恶意利用,定向给你服务器写入木马文件。当然宝塔是大公司,相信他们肯定不会这样做并加强相关安全措施(排除JC办案需要等情况)。
回复
举报
人间
人间
当前离线
积分
6344
发表于 2024-1-25 17:36:53
|
显示全部楼层
所以我不用bt
回复
支持
0
反对
1
举报
小学生
小学生
当前离线
积分
16001
发表于 2024-1-25 17:37:50
|
显示全部楼层
大佬牛逼 贴子在LOC质量最高
回复
支持
反对
举报
uov
uov
当前离线
积分
11453
发表于 2024-1-25 19:18:16
|
显示全部楼层
大佬牛逼 贴子在LOC质量最高
回复
支持
反对
举报
wan
wan
当前离线
积分
12434
发表于 2024-1-25 20:57:54
|
显示全部楼层
360都能随时上传+任意下发 和大数据搜文件 任意提取了 权限足够大的领导可以
宝塔大家说呢?
新bug~
地区dns劫持check.bt.cn
实现任意下发
回复
支持
反对
举报
piaofu998
piaofu998
当前离线
积分
5642
发表于 2024-1-31 11:33:33
|
显示全部楼层
大佬牛逼 贴子在LOC质量最高
回复
支持
反对
举报
气味
气味
当前离线
积分
39180
发表于 2024-1-31 11:48:03
|
显示全部楼层
看不懂
回复
举报
Parmesan2948
Parmesan2948
当前离线
积分
1313
发表于 2024-1-31 11:53:50
|
显示全部楼层
大佬牛逼 贴子在LOC质量最高
回复
支持
反对
举报
88170351
88170351
当前离线
积分
13638
发表于 2024-1-31 14:05:05
|
显示全部楼层
大佬神一般的存在, mjj的福音。
回复
支持
反对
举报
air小新
air小新
当前离线
积分
17974
发表于 2024-1-31 14:06:47
|
显示全部楼层
大佬牛逼 贴子在LOC质量最高
回复
支持
反对
举报
还有一些帖子被系统自动隐藏,点此展开
返回列表
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
注册
本版积分规则
发表回复
回帖后跳转到最后一页
Archiver
|
手机版
|
小黑屋
|
MJJ论坛
Copyright
MJJ论坛
© 2022 All Rights Reserved.
快速回复
返回顶部
返回列表
发表于 2024-1-25 17:03:34