盗版宝塔面板有后门吗 宝塔面板打不开怎么办

宝塔面板的善与恶:宝塔国内版收集用户服务器隐私数据

图/文：迷神

国内的某些公司做着做着就喜欢动些歪脑筋，手脚总是不那么干净，居心不可谓不险恶。

几天前各大论坛贴满了关于宝塔后门搜集隐私信息的帖子，网友附上了详细的宝塔搜集信息并上传到服务器的代码和操作流程，附带搜集信息的证据。我虽然对宝塔面板无感，但是手里的也服务的客户使用了宝塔，于是上去查看了一番，果然，发送的日志位于：

/www/server/panel/logs/request

看看里面的日志，甚至把部分代码都提交给了宝塔，如果你的数据库配置文件在线修改了，而且配置文件文件比较少了话，很可能被被上传到宝塔上。

宝塔提交服务器的日志，包括服务器的一些操作日志，保存格式为：[“操作时间”,“你的 IP(非服务器 IP):1000”,“POST”,“url地址/login?”,“用户 UA”,“{}”, 39]

着实想不通宝塔收集用户操作信息到底想干嘛？属实没必要吧？有何资格收集，就因为使用你们家面板？居心又何在？？？

一、宝塔收集收集用户面板操作日志的部分信息.

由/class/public.py文件的 write_request_log搜集，并保存到:/www/server/panel/logs/request/

由/script/site_task.py，logs_analysis的函数，定时发送到宝塔服务器部分信息：

PS：他们的证书也涉嫌获取服务器的所有域名信息。

其实，我很反感某些公司，天天就各种不安分的小手脚。修复方法也简单，可以把相关代码注释掉。更狠点的话，可以

最后，真心建议，宝塔这样的公司和他们家的产品，该换就换，还是别用了吧！怪可怕的。

宝塔面板降级回退老版本,可绕过宝塔强制登录(保姆级教程)

宝塔面板新版本强制要求手机号绑定，但可通过降级至特定版本来避免。以下是详细的降级步骤和常见问题解决方案。

解决方案：推荐降级至7.4.5之前的版本，如从8.0.2降至7.4.0。首先，停止自动升级，将面板设置为离线模式并修改hosts文件以防止升级。降级过程后，可能会遇到一些问题：

问题1：面板启动失败无报错-在panel目录的requirements.txt中添加markupsafe==2.0.1，执行安装命令后重启面板。

问题2：登录时密码错误-需要在终端修改宝塔面板密码。

问题3：验证码显示或文件下载问题-修改/www/server/panel/BTPanel/__init__.py中send_file函数的cache_timeout参数名为max_age。

其他相关教程和资源可以参考：

绕过登录限制的方法：回退至7.7.0版本，通过修改js代码

宝塔降级教程系列：保姆级教程之方法二

如何免费使用专业版插件的教程

宝塔的GitHub仓库：github.com/weiwang3056/...

请根据实际情况选择适合的解决方案，以满足您的宝塔面板使用需求。

一文掌握宝塔面板取证!

宝塔面板概述

宝塔面板是一款专为运维人员设计的服务器管理软件，它以网页形式呈现，具备一键式操作，支持服务器管理的多个方面，包括WAMP/WNMP/IIS/LAMP/LNMP、集群、监控、网站、FTP、数据库、JAVA等100多项功能。由于其广泛的市场应用，宝塔面板在多款涉案服务器中出现，因此，面向宝塔面板的取证变得至关重要。

面向宝塔面板的取证方法

宝塔面板的前端界面分为左右两栏，左侧为导航菜单，右侧为详情页面。在左侧导航中，网站及数据库是主要关注点，点击后可获得服务器部署的站点情况，包括网站访问域名、源码路径、配置文件等关键信息。数据库页面则揭示数据库名、用户名、密码及备份等重要信息。

在获取前端页面数据后，还需深入服务器获取原始数据。宝塔面板能够管理服务器文件系统，因此可以通过面板文件功能浏览服务器文件，执行增删改查及打包下载操作，从而获取服务器上的原始数据。例如，打包网站源码的步骤包括进入网站根目录、选择对应文件夹压缩打包，然后直接下载文件。

面板数据之外的深入探究

宝塔面板不仅仅局限于网站和数据库数据，还有更多重要信息，如网站配置文件、访问日志、终端指令记录、面板日志等。这些信息需要通过源文件固定下来，因此了解宝塔面板的目录结构至关重要。

Linux宝塔面板默认安装在/www/目录下，包括备份、回收站、服务器、wwwlogs、wwwroot等关键目录。其中，备份目录用于存储数据库备份和网站源码备份；回收站目录用于存储文件删除操作后的数据；服务器目录包含面板程序、服务目录等；wwwlogs目录存储网站访问日志和错误日志；wwwroot目录存储面板创建的站点源码。通过固定这些目录，可以获取重要数据。

网捕手新版本

网捕手网络远程取证系统是专为网站、社交媒体、网页邮箱等取证、存证及出证设计的一体化产品，具备页面截图、屏幕录像、实时哈希计算、生成取证报告等功能，并与第三方电子数据存证云平台无缝对接，支持司法鉴定报告的在线提交。新版本中，网捕手新增了“网页运维面板”下的宝塔面板模板，包含网站、FTP、数据库、文件及下载网站文件五个选项，实现对宝塔面板页面的截屏固定和信息提取，并将提取信息写入CSV文件。在面对多页信息时，网捕手能够自动翻页，确保信息不遗漏。