宝塔作为一个国内运维人人喜爱的产品,似乎在偷偷地收集站点的隐私信息,例如服务器IP、绑定的手机号等。为了一探究竟,我们对GitHub 上开源的代码进行以下分析。

隐私信息

处在大数据时代,我们的隐私俨然变得尤为重要,我们需要保护好自己的隐私,防止被第三方滥用!

隐私行为

通过对代码的分析,以及对本地文件的分析,我们得到了以下几个结果。

搜集服务器上面的域名

//关键请求日志
def write.request_ 1 og(reques = None):
    try:
    from BTPanel
import request, g, session
if session.get('debug') = 1: return
if request.path in ['/service. _status', '/favicon.ico" , *task',
'sem",' / ajax * , '/controa1.
return False
log._path = '0}/1ogs/request'.format(get.panel_ path())
log_ _file = getDate(format = '%Y-%m-%d') + '.json'
if not os.path.exists(1 og path): os.nakedirs(log, path)
1 og_ data = []
10 g_ _data.append(getDate())
1 og_ datapendaetClientIp() + ”: '+ str(request.environ.get('
RENOTE.PRT: )))
10 g_ data.append(request.method)
1 og_ _data.append(request.full_ path)
log_ data.append(request.headers.get("User-Agent'))
            if request.method = 'POST':
            args = str(request.form.to_ dict()) if len(ergs) < 2048 and ars
            .find(pass ') == -1 and args.find('
                user ') = -1:
                log_data.append(args)
                else
                    returen

保存格式为:

["2022-05-06 01:58:10", "你的 IP(非服务器 IP):1000", "POST", "/login?", "用户 UA", "{}", 39]

/script/site_task.py打包发送到宝塔服务器:

宝塔面板收集站点隐私信息插图

/task/bt-task.c定时执行.每一小时执行一次.

宝塔面板收集站点隐私信息插图1

暂时已知的就是这些.还有就是某些页面可能会请求宝塔的图片.通过 referer 等信息也可以得到某些信息.和绑定手机号之类的就不说了.

检查域名和收集操作信息属实没必要.不知道是什么意思. 

禁止方法

贴出以下禁止宝塔面板收集信息的办法,便于各位站长保护自己的隐私。

宝塔面板的安全设置,因为本身宝塔会收集用户的信息,例如IP、操作记录、浏览信息等。如果你不想被收集,除了放弃使用宝塔面板外,你还可以通过删除这些文件,来保护自己的信息,那么如何删除呢,下面博主就来给大家简单介绍下。

第一种解决办法(临时性)

1、记录日志路径

/www/server/panel/logs/request

2、删除日志

rm -rf /www/server/panel/logs/request/*

3、添加到计划任务自动执行,执行间隔可以根据自己的实际情况来

宝塔面板收集站点隐私信息插图2

第二种办法(永久性)

先停止宝塔面板。

1、在ssh的控制面板,输入 bt, 输入2,将宝塔面板服务停止。

2、然后用创建同名文件直接覆盖,依次输入下面的命令,回车执行

cd /www/server/panel/logs

rm –rf request

vi request //随便写点什么