宝塔面板的善与恶：宝塔国内版收集用户服务器隐私数据

图/文：迷神

国内的某些公司做着做着就喜欢动些歪脑筋，手脚总是不那么干净，居心不可谓不险恶。

几天前各大论坛贴满了关于宝塔后门搜集隐私信息的帖子，网友附上了详细的宝塔搜集信息并上传到服务器的代码和操作流程，附带搜集信息的证据。我虽然对宝塔面板无感，但是手里的也服务的客户使用了宝塔，于是上去查看了一番，果然，发送的日志位于：

/www/server/panel/logs/request

看看里面的日志，甚至把部分代码都提交给了宝塔，如果你的数据库配置文件在线修改了，而且配置文件文件比较少了话，很可能被被上传到宝塔上。

宝塔提交服务器的日志，包括服务器的一些操作日志，保存格式为：[“操作时间”, “你的 IP(非服务器 IP):1000”, “POST”, “url地址/login”, “用户 UA”, “{}”, 39]

着实想不通宝塔收集用户操作信息到底想干嘛？属实没必要吧？有何资格收集，就因为使用你们家面板？居心又何在？？？

一、宝塔收集收集用户面板操作日志的部分信息

由/class/publicpy文件的 write_request_log 搜集，并保存到:/www/server/panel/logs/request/

由 /script/site_taskpy ，logs_analysis的函数，定时发送到宝塔服务器部分信息：

PS：他们的证书也涉嫌获取服务器的所有域名信息。

其实，我很反感某些公司，天天就各种不安分的小手脚。修复方法也简单，可以把 相关代码注释掉。更狠点的话，可以

最后，真心建议，宝塔这样的公司和他们家的产品，该换就换，还是别用了吧！怪可怕的。

看到各种广告回答我也是醉了，这个东西嘛我还是比较了解的，从cpanel，kangle到国内的一些wdcp，appnode，bt等，感觉千篇一律，毫无创新，而且这个领域看来竞争十分激烈，不过近来发现一个全新理念的SaaS化的平台，旗鱼云梯我稍微体验了下，讲真还真让人有点耳目一新，个人觉得这种平台化的理念还算是有点新意，而且还有一些特色的安全防御功能。至于到底选择那个，那个好用，我觉得这是见仁见智的事情，最终还是产品服务为王，能否不断吸取用户的反馈，能否始终为用户创造价值，能否始终提供高质量的产品与服务，这才是决定一个产品能否获得用户认可，取得市场地位的根本决定因素吧。下面是我体验旗鱼云梯的几个简单的功能介绍，可以了解一下。

如果您在香港购买了服务器，并希望将其作为国内代理服务器使用，可以按照以下步骤进行设置：

选择适合的代理软件。常用的代理软件有 Shadowsocks、V2Ray、SSR 等，可以根据自己的需求选择合适的软件。

安装代理软件并进行配置。根据所选的代理软件的使用说明，安装并配置代理软件。

修改服务器的网络设置。将服务器的网络设置修改为国内的 IP 地址和 DNS 服务器，可以通过云服务商提供的控制面板进行修改。

测试代理服务器是否正常工作。在设置好代理软件和网络设置后，可以使用国内的网络测试代理服务器是否正常工作。

需要注意的是，将香港购买的服务器用作国内代理服务器可能会违反相关法律法规，需自行承担风险。另外，为了保障网络安全，建议使用正规渠道购买服务器，并严格遵守相关法律法规。