就算你面板用的开心版或者其他去后门版

尤里

有没有完全没后门的啊。。。

2023 更新:最新发现,就算你面板用的开心版或者其他去后门版,从宝塔安装的插件也还是会有上传隐私的脚本!

a8dog

具体是怎么上传的，上传的哪些东西

尤里

宝塔的后门总结起来有三点：

1、日志收集、上传

与其关注本地日志你应该自己找下宝塔是在哪里上传的日志。
/www/server/panel/script/site_task.py
#面板日志分析统计下面就是上传日志的代码

2、发送并验证域名

/www/server/panel/class/public.py

def cloud_check_domain(domain)
这个代码看起来像是申请证书使用的

处理方法:将相关代码改为

result = ""
3、检查面板文件完整性，每隔10分钟执行一次修复面板文件

www/server/panel/task.py

def check_files_panel()
官方标注为# 检查面板文件完整性 每隔10分钟执行一次

代码工作原理为 执行/www/server/panel/script/check_files.py
获取接口返回数据，然后做了一些判断，符合要求则
替换或者写入到/www/server/panel/class/下的文件内
然后重启面板

hey-free

让它传呗，反正日常 0帖子，0 ip的破站