vps交流

发现个宝塔7.7的后门藏在JS文件里,有用宝塔的自己改


本帖最后由 qq6825995 于 2022-5-17 18:03 编辑

panelBTPanelstaticjsindex.js    1082行 感觉像上传日志的

panelBTPanelstaticjscrontab.min.js  时间同步的,自己搜索bt.cn,不想在宝塔服务器里留日志的改

panelBTPanelstaticjscrontab.js  时间同步的,自己搜索bt.cn,不想在宝塔服务器里留日志的改

qq6825995 发表于 2022-5-17 18:22
我只说 我发现的,很像

mjj的水平堪忧啊,是不是看到有bt.cn域名就觉得是上传发现个宝塔7.7的后门藏在JS文件里,有用宝塔的自己改

qq6825995 发表于 2022-5-17 18:22
我只说 我发现的,很像

你没看到么?这是获取更新日志的。方法是get不是post或其它,这个是获取不是上传,不要杯弓蛇影。

本帖最后由 小号专用马甲 于 2022-5-17 18:34 编辑

还有后边的js
config[1].group.value = ‘定期同步服务器时间’
        config[5].group.value = ‘echo "|-正在尝试从0.pool.bt.cn同步时间..";n’ +
          ‘ntpdate -u 0.pool.bt.cnn’ +
          ‘if [ $? = 1 ];thenn’ +
          ‘techo "|-正在尝试从1.pool.bt.cn同步时间..";n’ +
          ‘tntpdate -u 1.pool.bt.cnn’ +
          ‘fin’ +
          ‘if [ $? = 1 ];thenn’ +
          ‘techo "|-正在尝试从0.asia.pool.ntp.org同步时间..";n’ +
          ‘tntpdate -u 0.asia.pool.ntp.orgn’ +
          ‘fin’ +
          ‘if [ $? = 1 ];thenn’ +
          ‘techo "|-正在尝试从www.bt.cn同步时间..";n’ +
          ‘tgetBtTime=$(curl -sS –connect-timeout 3 -m 60 http://www.bt.cn/api/index/get_time)n’ +

大哥啊
不是有bt cn 就是上传数据
不懂就别乱发啊
https://www.bt.cn/api/index/get_time 你打开这个 你发现没 只有一串数字啊
你知道什么意思吗
1652783521
https://tool.chinaz.com/tools/unixtime.aspx
打开这里 输入数字
发现没有 2022-05-17 18:32:01 这是当前时间啊 大哥

本帖最后由 小号专用马甲 于 2022-5-17 18:28 编辑

qq6825995 发表于 2022-5-17 18:22
我只说 我发现的,很像

这不是宝塔升级了什么功能啊
https://www.bt.cn/Api/getUpdateLogs
你直接点击
你在右上角 点击升级 就会提示你新版本有什么新功能

https://tool.chinaz.com/tools/unicode.aspx

看不懂就用这个解码
jsonpReturn([{"title":"Linux面板7.9.28 测试版","body":"【增加】增加网站安全扫描模块(在网站-设置)<br>n【优化】进一步减少对云端的依赖<br>n【优化】优化Node/Java项目管理器<br>n【优化】优化Docker商用模块<br>n【修复】修复centos stream无法管理SSH状态的问题<br>n【修复】修复风险检测单项检测不生效的问题<br>n【修复】修复其它已知问题<br>","addtime":"2022-05-11 15:54:23"},{"title":"Linux面板7.9.27 测试版","body":"【优化】优化网站漏洞扫描模块<br>n【优化】优化Dockers商用模块<br>n【优化】优化系统防火墙操作返回速度<br>n【优化】绑定域名时检测到重复将显示被哪个网站绑定<br>n【调整】调整重命名检测机制<br>n【调整】调整Docker商用模块试用日期为20220619<br>n【修复】修复风险扫描缓存问题<br>n【修复】修复没有网络配置网关时的报错<br>n【修复】修复basicauth关闭失败的问题<br>n【修复】修复编辑java项目配置列表没有更新的问题<br>n【修复】修复选择分类之后创建站点显示的问题<br>n【修复】修复申请SSL时服务器没有返回authKey情况下的异常处理<br>n【修复】修复首页安全风险滚动条显示的问题<br>n【修复】修复防火墙功能介绍页面显示问题<br>n【修复】修复移动文件目标已存在的情况下提示文件已存在的问题<br>n【修复】修复删除ipv6调用的是端口删除方法的问题<br>n【修复】修复数据库名称中包含’-‘的情况下无法移动到回收站的问题<br>n【修复】修复解压zip文件的路径中包含空格时无法解压的问题<br>n【修复】修复通配符域名申请Let’sEncrypt证书错误派生问题<br>n【修复】修复网站目录密码前两位输入特殊符号会报错的问题<br>n【修复】修复项目控制器ws对象传递问题<br>n【修复】修复编辑网站重定向状态的问题<br>n【修复】修复平均负载图表显示问题<br>n【修复】修复网站管理推荐插件不可用的问题<br>","addtime":"2022-04-27 16:33:31"},{"title":"Linux面板7.9.26 测试版","body":"【增加】增加Docker商用模块(限时免费试用)<br>n【调整】调整安全风险中的防跨站检测只针对PHP项目<br>n【调整】调整BasicAuth用户密码不能为空<br>n【调整】调整面板超时时间不能为空<br>n【优化】优化文件缩略图返回效率<br>n【优化】优化异常处理信息脱敏<br>n【修复】修复添加子目录时未按运行目录配置的问题<br>n【修复】修复设置网站运行目录后子目录绑定的问题<br>n【修复】修复面板SSL选择自签证书配置不生效的问题<br>n【修复】修复面板授权IP段限制不生效的问题<br>n【修复】修复网站默认文档设置为空时未提示错误的问题<br>n【修复】修复云端连接错误的派生报错<br>n【修复】修复通过安全页面屏蔽ipv6地址显示为放行端口的问题<br>n【修复】修复回收站文件显示重复的问题<br>n【修复】修复zip和gzip解压问题及rar压缩问题<br>n【修复】修复安装好PHP扩展后在PHP探针中没有立即显示的问题<br>n【修复】修复申请let’sencrypt证书时会自动重启面板的问题<br>n【修复】修复项目控制器对WS的支持<br>","addtime":"2022-04-20 17:08:51"},{"title":"Linux面板7.9.25 测试版","body":"【重构】用C语言重构了后台任务模块内存开销从60M减少到1M以内<br>n【优化】优化首页【安全风险】模块,减少常驻内存开销<br>n【优化】调整面板前置线程为前置进程,减少常驻内存开销<br>n【增加】增加漏洞扫描模块(在网站-漏洞扫描)<br>n【修复】其它已知Bug修正<br>","addtime":"2022-04-13 18:34:15"},{"title":"Linux面板7.9.24 测试版","body":"【增加】面板响应头中增加X-Frame-Options<br>n【调整】使用api接口请求webssh不再验证csrf<br>n【调整】移除部分云端依赖<br>n【优化】优化插件加载和插件异常自动化处理机制<br>n【优化】优化插件加载速度<br>n【修复】修复第三方插件无法安装的情况<br>n【修复】修复ie浏览器的部分兼容性问题<br>n【修复】修复部分机器回收站不显示数据库的问题<br>n【修复】修复拖拽文件上传没有重置的问题<br>n【修复】修复部分机器无法清空回收站的问题<br>","addtime":"2022-04-06 17:31:07"},{"title":"Linux面板7.9.23 测试版","body":"【增加】监控页面-磁盘IO增加读写次数和读写延迟数据维度<br>n【优化】优化回收站机制(根据磁盘分区设置回收站目录.Recycle_bin)<br>n【优化】优化云端依赖异常处理机制,减少云端故障对面板的影响<br>n【优化】优化针对aarch64架构的授权缓存<br>n【优化】优化Python3.10环境的兼容性<br>n【修复】修复临时授权不能用的问题<br>n【修复】修复文件搜索切换页码时不带搜索条件的问题<br>n【修复】修复亚信SSL验证文件错误的问题<br>n【修复】其它已知Bug修正<br>","addtime":"2022-03-30 15:19:53"},{"title":"Linux面板7.9.22 测试版","body":"【增加】增加云端节点切换功能<br>n【增加】网站设置增加防篡改、双向认证入口<br>n【升级】升级Flask框架到2.0<br>n【升级】升级Python版本支持范围从3.7-3.10<br>n【优化】减少对云端的依赖,云端异常不影响面板运行<br>n【优化】移除过期的依赖模块<br>n【修复】修复面板设置样式问题<br>n【修复】修复网站/FTP/数据库搜索时包含-时显示结果不符合预期的问题<br>n【修复】修复mariadb-client重装失败的问题<br>n【修复】修复面板SSL部署[其它证书]不生效的问题<br>","addtime":"2022-03-23 16:40:46"},{"title":"Linux面板7.9.21 测试版","body":"【增加】增加节点自动模块<br>n【增加】增加未授权响应过虑机制<br>n【优化】增强安全入口设置限制<br>n【优化】增强输入过滤策略<br>n【优化】优化phpMyAdmin兼容性<br>n【调整】调整默认文件历史副本数量为100<br>n【修复】修复网站/FTP/数据库搜索时包含“-”时显示结果不符合预期的问题<br>n【修复】修复centos7.x管理远程数据库时自动安装mysql客户端失败的问题<br>n【修复】修复目录上传时的权限设置问题<br>n【修复】修复设置网站运行目录导致SSL证书自动续签失败的问题<br>","addtime":"2022-03-16 14:47:56"},{"title":"Linux面板7.9.20 测试版","body":"【优化】商用证书样式调整<br>n【修复】修复let’s Encrypt文件验证全选会选中通配符域名的问题<br>n【修复】修复亚信SSL证书因根证书变更导致的验证失败问题<br>n【修复】开发者模式代码热更新不更新插件代码的问题<br>n【修复】修复因网络原因导致Node项目配置显示错误的问题<br>n【修复】修复nodejs-service命令提示错误的问题<br>n【修复】修复远程数据库添加或删除时未刷新数据库列表<br>","addtime":"2022-03-09 18:07:06"},{"title":"Linux面板7.9.19 测试版","body":"【增加】增加图片缩略图方法<br>n【优化】优化首页推荐<br>n【修复】修复删除网站同时删除数据库时数据库大小计算不正确的问题<br>n【修复】修复phpmyamdin配置密码访问后无法进入的问题<br>n【修复】修复因系统环境变量导致nginx -t 命令的问题<br>n【修复】修复Let’sEncrypt手动续签的问题<br>n【修复】修复数据库配额为0的时候也判断为开启的问题<br>n【修复】修复远程数据库显示问题<br>","addtime":"2022-03-02 17:13:37"}]);

小号专用马甲 发表于 2022-5-17 18:10
宝塔至于用js代码上传吗
服务器整个权限都有
怎么也不至于用js代码吧

我只说 我发现的,很像
发现个宝塔7.7的后门藏在JS文件里,有用宝塔的自己改

逐个文件都在检查吗?mjj力量无敌啊发现个宝塔7.7的后门藏在JS文件里,有用宝塔的自己改
大佬加油 亮出铁证
卧槽,楼主帮宝塔体面?
发现个宝塔7.7的后门藏在JS文件里,有用宝塔的自己改 宝塔至于用js代码上传吗
服务器整个权限都有
怎么也不至于用js代码吧

小号专用马甲 发表于 2022-5-17 06:10
宝塔至于用js代码上传吗
服务器整个权限都有
怎么也不至于用js代码吧

那样太明显

最简单的 编译成二进制文件伪装成关键进程然后定期调用就行了,反正你们只看代码发现个宝塔7.7的后门藏在JS文件里,有用宝塔的自己改

我以为用宝塔的都是国内的服务器,上不上传无所谓,难道你们国外的鸡也装宝塔吗?