据博主 @蓝洛水深 发布的消息,近期服务器集成环境工具宝塔面板在网站的 HTTP 404 页面中添加广告,正常情况下 Nginx 出现 404 请求时会直接返回简单明了的 404 Not Found 页面。
而在宝塔面板中现在这个页面被修改了,页面底部追加:Power by 堡塔 (免费,高效和安全的托管控制面板) 这段内容添加了链接,点击会跳转到宝塔官网。
即便用户已经在宝塔中设置自定义的 HTTP 状态页,宝塔面板也会将其顶替掉换成自己的状态页,而且似乎是从服务器上拉取的页面因此暂时网站可能无法关闭这个广告。
蓝点网测试了几个使用宝塔面板的网站暂时没发现这种情况,从截图来看宝塔宣传的是另一款产品堡塔,堡塔侧重于防火墙和安全方面。
基于此蓝点网猜测这个广告内容应该是在宝塔 Nginx 防火墙中出现的,使用宝塔面板的站长和开发者们可以打开自己的网站编个 404 页面进行测试。
目前比较让人迷惑的就是宝塔为了打广告竟然替代网站自行设置的 HTTP 状态页,这种操作让人无法理解,尤其是通过服务器拉取含有广告的状态页,这样操作会导致网站始终找不到办法禁用广告状态页。
另外蓝点网在宝塔论坛里还未发现有其他站长反馈类似的情况,有可能是宝塔在进行小范围测试,只挑选了部分服务器开启了带有广告的状态页。
最后,这种操作还会影响服务器安全性,即攻击者知道网站服务器使用的是宝塔面板则可以缩小攻击范围,寻找宝塔存在的漏洞展开攻击。多数情况下站长都会隐藏宝塔面板的各种入口以及配合 CDN 隐藏 IP 地址,现在一个 404 页面就能暴露网站使用的是宝塔面板,因此可以说是弱化了安全性。
感谢网友 @imPrk 分享的消息
