宝塔面板是什么？

宝塔Linux面板是提升运维效率的服务器管理软件，支持一键LAMP/LNMP/集群/监控/网站/FTP/数据库/JAVA等100多项服务器管理功能。例如:创建管理网站，轻松简单完成各种配置; 一键创建数据库，一键设置备份还原；方便高效的文件管理器，支持上传、下载、打包、解压以及文件编辑查看等。由此可见，宝塔面板一键管理服务器操作简单便捷，使得一些涉案服务器也使用宝塔面板进行管理。

一. 宝塔面板目录结构

1. Backup目录是宝塔面板的备份文件目录，保存数据库备份、站点备份。

2. Server目录是宝塔面板的服务目录。

3. wwwlogs目录是站点日志目录，保存网站的访问日志及错误日志。

4. wwwroot目录是站点根目录，网站源码存放在目录下。

二、如何发现宝塔服务器是否使用了宝塔服务

1. 当获取到服务器的真实IP地址后，在浏览器输入服务器IP地址，会出现报错页面。如下图所示：

2. 在服务器IP地址后加上宝塔面板的默认端口8888，当出现如下图所示时，说明此服务器使用了宝塔服务。注：如端口被修改，可通过简单的端口扫描来发现服务器开放了哪些端口，在通过IP地址加上可疑的端口进行测试来确定是否使用了宝塔服务。

三、宝塔面板各种安全限制的解决方法

1. BasicAuth认证

宝塔服务开启BasicAuth认证时，需要输入用户名和密码，如下图。

方法一：用户名和密码保存在/www/server/panel/config/basic_auth.json 文件中,用户名和密码加密方式为MD5。

方法二：可以使用bt 23将BasicAuth认证关闭。

2.IP访问限制

设置的白名单IP保存在/www/server/panel/data/limitip.conf 文件中。

方法一：删除limitip.conf文件，命令：rm -rf  /www/server/panel/data/limitip.conf 。

方法二：可以使用bt 13取消ip访问限制。

3.安全入口限制

设置的8位字符的安全入口保存在/www/server/panel/data/admin_path.pl 文件中。

方法一：删除admin_path.pl文件，命令：rm -rf /www/server/panel/data/admin_path.pl 。

方法二：bt 14查看 或者 bt 11删除安全入口。

4.面板操作日志被清空或default.db的logs表被篡改或者删除宝塔的web请求日志记录在 /www/server/panel/logs/request，可以查看日志进行分析。

5.查看完整的宝塔账号

宝塔面板管理界面绑定宝塔账号是看到的是不完整的。

绑定的账号会记录在www/server/panel/data/userInfo.json 查看即可。

四、宝塔面板数据

1.当我们登录到宝塔面板界面，首先要关注网站和数据库数据。可以通过网站和数据库来了解服务器的部署情况和备份数据。

2.网站

网站-备份站点-下载

同时，在此页面很直观的就能看出服务器存在几个网站网址，方便我们对这些网站进行分析。

3.数据库备份

数据库-备份数据库

同时，在此页面也可获得到数据库的root密码，每个数据库的用户名和密码。

4.服务器搭建环境

当我们在做网站重构时，服务器搭建环境相对来说是重要的，如果能得知服务器在搭建时，用的是什么数据库，服务器，版本信息等，那么我在重构时会事半功倍。

在宝塔面板页面中，可以通过在软件商店直接看面板下载了哪些环境。如下图就很直观的看到这个服务器使用的是常见的LNMP环境及其版本信息。那么在我们重构时，只需要去搭建配置相同的环境就可以相对较轻松地把网站搭建起来。

总结

有部分的涉案网站也使用了宝塔面板，学习宝塔面板的使用方法，帮助我们更快地对使用了宝塔服务的涉案网站进行取证。

安全为先，洞鉴未来，奇安信盘古石取证团队竭诚为您提供电子数据取证专业的解决方案与服务。如需试用，请联系奇安信各区域销售代表，或致电95015，期待您的来电！

“盘古石”团队是奇安信科技集团股份有限公司旗下专注于电子数据取证技术研发的团队，由来自国内最早从事电子数据取证的成员组成。盘古石团队以“安全为先，洞鉴未来”为使命，以“漏洞思维”解决电子数据取证难题，以“数据驱动安全”为技术思想，以安全赋能取证，研发新一代电子数据取证产品，产品涵盖计算机取证、移动终端取证、网络空间取证、IoT取证、取证数据分析平台等电子数据取证全领域产品和解决方案，为包括公安执法、党政机关、司法机关以及行政执法部门等提供全面专业的支持与服务。

原文始发于微信公众号（盘古石取证）：宝塔面板取证