·设为首页收藏本站📧邮箱修改🎁免费下载专区💎积分✅卡密📒收藏夹👽聊天室
返回列表 发布新帖

回顾GoEdge投毒事件,附解决方案,附注册机

238 9
发表于 2024-7-26 22:33:43 | 查看全部 阅读模式

马上注册,免费下载更多dz插件网资源。

您需要 登录 才可以下载或查看,没有账号?立即注册

×
事件回顾

在2024年5月中下旬,GoEdge QQ群聊解散,群主超哥失联于5月20日,在这天上午九点和下午六点都发布了更新 回顾GoEdge投毒事件,附解决方案,附注册机 域名,网址,字符串,澳洲,投毒
这天上午9点发布的更新版本为1.3.9
  1. 节点程序文件 edge-node MD5 8EBAC47C212DBB41CC0B2B9C6D4B32E4节点程序压缩包 edge-node-linux-amd64-plus-v1.3.9.zip MD5 D6B495249683D981DEA15B5BAD97ACDB
复制代码

在下午6点左右,上传了新的管理系统,管理系统压缩包中,带有一个节点程序的压缩包,是给edge-api准备的,但是这个节点程序修改日期居然是下午六点,与admin的临近
  1. 节点程序文件 edge-node MD5 54D7FDD77A1DBB8431B186BAC03C6429节点程序压缩包 edge-node-linux-amd64-v1.3.9.zip MD5 88D96C2696C7F842BCEE66B833412571管理平台压缩包 edge-admin-linux-amd64-plus-v1.3.9.zip MD5 FFDF4E395BE3096787396C46F4B793CF
复制代码

这显然不对劲,难道是超哥亲自夹杂的私货吗?
带着疑问,我们来静态分析一下,刚修完几十个节点,眼有点花了,这里就不手搓了,直接用微步云沙箱,也方便大家自行查看
首先是早上九点的1.3.9,上传文件到沙箱,根据目前的投毒情况,节点程序文件的字符串中会出现这样一条URL
链接似乎被吞了,想看报告带md5去沙箱搜索即可
  1. https://cdn.jsdelivr.vip/jquery.min-3.7.0.js
复制代码
也就是说,我们只需要看字符串中有没有这条URL就可以了,至于有没有后门,咱也分析不了呀
打开报告,我们看沙箱提取好的URL
回顾GoEdge投毒事件,附解决方案,附注册机 域名,网址,字符串,澳洲,投毒
然后,是晚上六点的1.3.9,打开报告,看沙箱提取好的URL
回顾GoEdge投毒事件,附解决方案,附注册机 域名,网址,字符串,澳洲,投毒

此时发现,并没有什么不同,只是域名从cn变成了cloud,这上午还是cn,下午就是cloud了,好神奇,我们先保留这个疑问
根据我的回忆,经过几天的沉寂,在22号,goedge的TG群组回归了
回顾GoEdge投毒事件,附解决方案,附注册机 域名,网址,字符串,澳洲,投毒
已经编译好发布了好几天,下载下来MD5变了,修改日期居然变5月24号了?报告
  1. 节点程序文件 edge-node MD5 54D7FDD77A1DBB8431B186BAC03C6429
复制代码

近日,有许多GoEdge用户发现,网站页面尾部会插入一段js代码

首先分析一下修改日期为7月10日的1.4.1的节点程序
  1. 节点程序文件 edge-node MD5 D08FB882642BC1CD423F44F4F4B0C852节点程序压缩包 edge-node-linux-amd64-plus-v1.4.1.zip MD5 D7AF8DD45334E7C3EFB8DB7D8D8933C5
复制代码

查看报告发现,出现了一条逆天的URL
  1. https://cdn.jsdelivr.vip/jquery.min-3.7.0.js
复制代码

身处澳洲的群主,引用jsdelivr,<strike>等等,e呢?</strike> 资源,居然还贴心地给我们用了加速?!我真的太感动了啊,就是这链接不太对劲啊,我记得不是这个格式啊,难道是下载服务器ssh密码泄露了,被植入病毒了?
回顾GoEdge投毒事件,附解决方案,附注册机 域名,网址,字符串,澳洲,投毒
不对呀,这旧版本和新版本编译器咋还换了呢,这不对吧,<strike>有人说,说是有人在这汤里下了毒</strike>回顾GoEdge投毒事件,附解决方案,附注册机 域名,网址,字符串,澳洲,投毒

26日凌晨

回顾GoEdge投毒事件,附解决方案,附注册机 域名,网址,字符串,澳洲,投毒

群友发现,自己的网站末尾夹杂了私货,经过大家的探讨发现,</body><!—直接就能把这坨东西变成注释,不得不说,这是一个很好的思路

回顾GoEdge投毒事件,附解决方案,附注册机 域名,网址,字符串,澳洲,投毒

那,这到底是啥呢,为啥要注释掉?
从境内访问,这个网址是一个混淆加密的js文件

回顾GoEdge投毒事件,附解决方案,附注册机 域名,网址,字符串,澳洲,投毒

从境外访问,不允许访问,这......群主不是说要只给海外用户提供服务嘛

回顾GoEdge投毒事件,附解决方案,附注册机 域名,网址,字符串,澳洲,投毒

回顾GoEdge投毒事件,附解决方案,附注册机 域名,网址,字符串,澳洲,投毒

看这个解析,很神奇,使用的是非常好的CDN,不禁让我浮想联翩

回顾GoEdge投毒事件,附解决方案,附注册机 域名,网址,字符串,澳洲,投毒

接着,有大佬分析出该加密js
回顾GoEdge投毒事件,附解决方案,附注册机 域名,网址,字符串,澳洲,投毒

不光是分地区分设备跳转,甚至每个时段跳转的概率还不相等,还能根据你的网站分类量身定制,真是贴心啊

回顾GoEdge投毒事件,附解决方案,附注册机 域名,网址,字符串,澳洲,投毒

经过大家在群里激烈的讨论,位于澳大利亚、比北京晚俩小时的群主,终于在北京时间12:50,悄悄地,上传了一个无毒的版本,试图掩盖一切。然后,随着一声“不信谣,不传谣”,群人数大大减少,大概是大家自己退群了吧

回顾GoEdge投毒事件,附解决方案,附注册机 域名,网址,字符串,澳洲,投毒

如何解决?

根据我们前面的分析,发现仅在节点程序中夹杂了私货,但是仍建议全部回退5月20日早上的版本,避免后门。如果是在5月21日后安装的,建议立即回退
这里,感谢dv老板分享的谷歌盘存档

首先,我们要在主控屏蔽goedge域名,防止日后出现什么问题,执行下面命令即可
  1. echo "127.0.0.1 goedge.cloud" | sudo tee -a /etc/hosts > /dev/nullecho "127.0.0.1 goedge.cn" | sudo tee -a /etc/hosts > /dev/nullcat /etc/hosts
复制代码

接着,把主控回退到5月20日版本
<strike>首先</strike>
  1. cd 主控安装目录
复制代码
接着
  1. ./edge-admin upgrade --url=https://dl.naixi.net/cdn/goedge/goedgecn/edge-admin-linux-amd64-plus-v1.3.9.zip
复制代码
此处仅演示amd64架构,使用的URL由奶昔提供,感谢!不放心的换成自己的URL即可

前面提到,管理系统压缩包里面带的节点程序是晚上更新的,虽然只是换了个网址,但是仍建议使用早上的版本,所以我们执行一步替换,此处仍使用奶昔提供的下载服务
  1. cd 安装目录,例如 /usr/local/goedge/edge-admin/edge-api/deploy
复制代码
然后,删除原有的文件
  1. rm -rf edge-node-linux-amd64-plus-v1.3.9.1.zip
复制代码
获取早上的版本
  1. wget -O edge-node-linux-amd64-v1.3.9.zip https://dl.naixi.net/cdn/goedge/goedgecn/edge-node-linux-amd64-plus-v1.3.9.zip
复制代码

到这,主控就重装好了,不过要提醒的是,检查一下这个目录/edge-admin/edge-api/deploy 里面有没有比1.3.9更高版本的文件,有的话删掉

⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯

只是重装主控可不行,投毒投在节点啊 确保已经安装curl、unzip 看看节点程序装在哪个目录,如果是/root/edge-node,执行如下
  1. rm -rf /usr/local/goedgecd /root/edge-node./edge-node/bin/edge-node cache.garbage --deletecurl -L "https://dl.naixi.net/cdn/goedge/goedgecn/edge-node-linux-amd64-plus-v1.3.9.zip" -o edge-node-linux-amd64-plus.zip -C - -#./edge-node/bin/edge-node stoprm -rf ./edge-node/datarm -rf ./edge-node/binrm -rf /opt/cacheunzip -o edge-node-linux-amd64-plus.zip./edge-node/bin/edge-node restartrm -rf *.zipmkdir /opt/cache
复制代码
看看节点程序装在哪个目录,如果是/usr/local/goedge,执行如下
  1. rm -rf /root/edge-nodecd /usr/local/goedge./edge-node/bin/edge-node cache.garbage --deletecurl -L "https://dl.naixi.net/cdn/goedge/goedgecn/edge-node-linux-amd64-plus-v1.3.9.zip" -o edge-node-linux-amd64-plus.zip -C - -#./edge-node/bin/edge-node stoprm -rf ./edge-node/datarm -rf ./edge-node/binrm -rf /opt/cacheunzip -o edge-node-linux-amd64-plus.zip./edge-node/bin/edge-node restartrm -rf *.zipmkdir /opt/cache
复制代码
需要说明的是,我们先删除了usr下的goedge,因为根据我的经验,节点自动升级的时候有可能会重复安装,具体怎么回事也说不清;我们删除了/opt/cache,这是默认的缓存目录,因为缓存中可能存在投毒后的页面,如果你还有其他缓存目录,需要自行清除,如果体量太大,直接重装系统得了
如果你执行错了,说明你不适合手动操作,直接重装系统得了

⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯

奶昔论坛,建议直接使用第三方授权登陆,就不用验证邮箱了
https://t.me/Naixi2tg/2370
GoEdge 分遗产 频道
https://t.me/goedge233
我要说一句 收起回复
创宇盾启航版免费网站防御网站加速服务

评论9

婷姐楼主Lv.8 发表于 2024-7-26 22:34:22 | 查看全部
这伙人解决问题的方法是,DD发他们丑闻的网站。
我要说一句 收起回复
独家记忆Lv.8 发表于 2024-7-26 22:35:11 | 查看全部
围观一下,大佬出面分析,狠狠的攒一波
我要说一句 收起回复
独家记忆Lv.8 发表于 2024-7-26 22:35:35 | 查看全部
前排吃瓜
我要说一句 收起回复
TyCodingLv.8 发表于 2024-7-26 22:35:47 | 查看全部
5月份的事情吗
我要说一句 收起回复
TyCodingLv.8 发表于 2024-7-26 22:36:33 | 查看全部
现在国内用的多的建站工具还有几个干净的
我要说一句 收起回复
IT618发布Lv.8 发表于 2024-7-26 22:37:31 | 查看全部
炸裂
我要说一句 收起回复
独家记忆Lv.8 发表于 2024-7-26 22:37:39 | 查看全部
还好没买。谢谢楼主发出来
我要说一句 收起回复
浅生Lv.8 发表于 2024-7-26 22:38:11 | 查看全部
js这么点流量还是不要cdn的好
我要说一句 收起回复
TyCodingLv.8 发表于 2024-7-26 22:38:19 | 查看全部
这是跟51.la一样夹带私货半夜跳广告?
我要说一句 收起回复

回复

 懒得打字嘛,点击右侧快捷回复【查看最新发布】   【应用商城享更多资源】
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

创宇盾启航版免费网站防御网站加速服务
投诉/建议联系

discuzaddons@vip.qq.com

未经授权禁止转载,复制和建立镜像,
如有违反,按照公告处理!!!
  • 联系QQ客服
  • 添加微信客服

联系DZ插件网微信客服|最近更新|Archiver|手机版|小黑屋|DZ插件网! ( 鄂ICP备20010621号-1 )|网站地图 知道创宇云防御

您的IP:18.218.214.202,GMT+8, 2024-11-5 04:50 , Processed in 0.741446 second(s), 119 queries , Gzip On, Redis On.

Powered by Discuz! X5.0 Licensed

© 2001-2024 Discuz! Team.

关灯 在本版发帖
扫一扫添加微信客服
QQ客服返回顶部
快速回复 返回顶部 返回列表