全球主机交流论坛

标题: 详细说明官方版宝塔的自动更新机制 [打印本页]

作者: ccclt 时间: 2024-1-25 17:03
标题: 详细说明官方版宝塔的自动更新机制
官方版宝塔实际上是有个自动更新机制，可以在不经过你同意的情况下自动更新你服务器的面板文件。

触发入口是 task.py 和 check_msg.py 的 PluginLoader.daemon_panel() 方法，通过BTTask进程10分钟调用1次
该方法内部执行 PluginLoader.so 里面的 check_panel_auth 方法
该方法内先请求 https://check.bt.cn/api/panel/check_files 检查是否有需要更新的文件，POST参数有“面板版本、绑定账号ID、IP地址”
大多数情况都会返回"当前版本无需校验文件完整性"
如果有返回，则返回内容是一个[文件名、文件MD5、文件内容]的列表，然后会逐一对比文件MD5，MD5不一致的则写入新的文件内容。
如果有写入文件的操作，则在最后执行bt restart重启面板

此自动更新机制应该是为了在爆出高危漏洞统一更新面板文件，避免出现像之前那样漏洞修复慢的情况。但是也不排除被人恶意利用，定向给你服务器写入木马文件。当然宝塔是大公司，相信他们肯定不会这样做并加强相关安全措施（排除JC办案需要等情况）。

作者: 人间 时间: 2024-1-25 17:36
所以我不用bt

作者: 小学生 时间: 2024-1-25 17:37
大佬牛逼贴子在LOC质量最高

作者: uov 时间: 2024-1-25 19:18
大佬牛逼贴子在LOC质量最高

作者: wan 时间: 2024-1-25 20:57
360都能随时上传+任意下发和大数据搜文件任意提取了权限足够大的领导可以
宝塔大家说呢？
新bug～
地区dns劫持check.bt.cn
实现任意下发

作者: piaofu998 时间: 2024-1-31 11:33
大佬牛逼贴子在LOC质量最高

作者: 气味 时间: 2024-1-31 11:48
看不懂

作者: Parmesan2948 时间: 2024-1-31 11:53
大佬牛逼贴子在LOC质量最高

作者: 88170351 时间: 2024-1-31 14:05
大佬神一般的存在， mjj的福音。

作者: air小新 时间: 2024-1-31 14:06

大佬牛逼贴子在LOC质量最高

欢迎光临全球主机交流论坛 (https://d.168530.xyz/)