找回密码
 立即注册
CeraNetworksBGVM服务器主机交流会员请立即修改密码Sharktech防护
查看: 20|回复: 0

详细说明官方版宝塔的自动更新机制

[复制链接]

25

主题

46

回帖

713

积分

高级会员

积分
713
发表于 2024-1-25 17:03:34 | 显示全部楼层 |阅读模式
官方版宝塔实际上是有个自动更新机制,可以在不经过你同意的情况下自动更新你服务器的面板文件。


触发入口是 task.py 和 check_msg.py 的 PluginLoader.daemon_panel() 方法,通过BTTask进程10分钟调用1次
该方法内部执行 PluginLoader.so 里面的 check_panel_auth 方法
该方法内先请求 https://check.bt.cn/api/panel/check_files 检查是否有需要更新的文件,POST参数有“面板版本、绑定账号ID、IP地址”
大多数情况都会返回"当前版本无需校验文件完整性"
如果有返回,则返回内容是一个[文件名、文件MD5、文件内容]的列表,然后会逐一对比文件MD5,MD5不一致的则写入新的文件内容。
如果有写入文件的操作,则在最后执行bt restart重启面板


此自动更新机制应该是为了在爆出高危漏洞统一更新面板文件,避免出现像之前那样漏洞修复慢的情况。但是也不排除被人恶意利用,定向给你服务器写入木马文件。当然宝塔是大公司,相信他们肯定不会这样做并加强相关安全措施(排除JC办案需要等情况)。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|HS2V主机综合交流论坛

GMT+8, 2024-11-13 04:33 , Processed in 0.056127 second(s), 3 queries , Gzip On, Redis On.

Powered by Discuz! X3.5 |   访问量:   |   访客量:  

© 2001-2024 Discuz! Team. |   今日访问量:    |   今日访客量:  

快速回复 返回顶部 返回列表