回顾GoEdge投毒事件，附解决方案，附注册机

婷姐 · 发表于 2024-7-26 22:33:43

马上注册，免费下载更多dz插件网资源。

您需要登录才可以下载或查看，没有账号？立即注册

×

事件回顾

在2024年5月中下旬，GoEdge QQ群聊解散，群主超哥失联于5月20日，在这天上午九点和下午六点都发布了更新回顾GoEdge投毒事件，附解决方案，附注册机域名,网址,字符串,澳洲,投毒

这天上午9点发布的更新版本为1.3.9

节点程序文件 edge-node MD5 8EBAC47C212DBB41CC0B2B9C6D4B32E4节点程序压缩包 edge-node-linux-amd64-plus-v1.3.9.zip MD5 D6B495249683D981DEA15B5BAD97ACDB

复制代码

在下午6点左右，上传了新的管理系统，管理系统压缩包中，带有一个节点程序的压缩包，是给edge-api准备的，但是这个节点程序修改日期居然是下午六点，与admin的临近

节点程序文件 edge-node MD5 54D7FDD77A1DBB8431B186BAC03C6429节点程序压缩包 edge-node-linux-amd64-v1.3.9.zip MD5 88D96C2696C7F842BCEE66B833412571管理平台压缩包 edge-admin-linux-amd64-plus-v1.3.9.zip MD5 FFDF4E395BE3096787396C46F4B793CF

复制代码

这显然不对劲，难道是超哥亲自夹杂的私货吗？
带着疑问，我们来静态分析一下，刚修完几十个节点，眼有点花了，这里就不手搓了，直接用微步云沙箱，也方便大家自行查看
首先是早上九点的1.3.9，上传文件到沙箱，根据目前的投毒情况，节点程序文件的字符串中会出现这样一条URL
链接似乎被吞了，想看报告带md5去沙箱搜索即可

https://cdn.jsdelivr.vip/jquery.min-3.7.0.js

复制代码

也就是说，我们只需要看字符串中有没有这条URL就可以了，至于有没有后门，咱也分析不了呀
打开报告，我们看沙箱提取好的URL
回顾GoEdge投毒事件，附解决方案，附注册机域名,网址,字符串,澳洲,投毒

然后，是晚上六点的1.3.9，打开报告，看沙箱提取好的URL
回顾GoEdge投毒事件，附解决方案，附注册机域名,网址,字符串,澳洲,投毒

此时发现，并没有什么不同，只是域名从cn变成了cloud，这上午还是cn，下午就是cloud了，好神奇，我们先保留这个疑问
根据我的回忆，经过几天的沉寂，在22号，goedge的TG群组回归了
回顾GoEdge投毒事件，附解决方案，附注册机域名,网址,字符串,澳洲,投毒

已经编译好发布了好几天，下载下来MD5变了，修改日期居然变5月24号了？报告

节点程序文件 edge-node MD5 54D7FDD77A1DBB8431B186BAC03C6429

复制代码

近日，有许多GoEdge用户发现，网站页面尾部会插入一段js代码

首先分析一下修改日期为7月10日的1.4.1的节点程序

节点程序文件 edge-node MD5 D08FB882642BC1CD423F44F4F4B0C852节点程序压缩包 edge-node-linux-amd64-plus-v1.4.1.zip MD5 D7AF8DD45334E7C3EFB8DB7D8D8933C5

复制代码

查看报告发现，出现了一条逆天的URL

https://cdn.jsdelivr.vip/jquery.min-3.7.0.js

复制代码

身处澳洲的群主，引用jsdelivr，<strike>等等，e呢？</strike> 资源，居然还贴心地给我们用了加速？！我真的太感动了啊，就是这链接不太对劲啊，我记得不是这个格式啊，难道是下载服务器ssh密码泄露了，被植入病毒了？
回顾GoEdge投毒事件，附解决方案，附注册机域名,网址,字符串,澳洲,投毒

不对呀，这旧版本和新版本编译器咋还换了呢，这不对吧，<strike>有人说，说是有人在这汤里下了毒</strike> 回顾GoEdge投毒事件，附解决方案，附注册机域名,网址,字符串,澳洲,投毒

26日凌晨

群友发现，自己的网站末尾夹杂了私货，经过大家的探讨发现，</body><!—直接就能把这坨东西变成注释，不得不说，这是一个很好的思路

回顾GoEdge投毒事件，附解决方案，附注册机域名,网址,字符串,澳洲,投毒

那，这到底是啥呢，为啥要注释掉？
从境内访问，这个网址是一个混淆加密的js文件

回顾GoEdge投毒事件，附解决方案，附注册机域名,网址,字符串,澳洲,投毒

从境外访问，不允许访问，这......群主不是说要只给海外用户提供服务嘛

回顾GoEdge投毒事件，附解决方案，附注册机域名,网址,字符串,澳洲,投毒

看这个解析，很神奇，使用的是非常好的CDN，不禁让我浮想联翩

回顾GoEdge投毒事件，附解决方案，附注册机域名,网址,字符串,澳洲,投毒

接着，有大佬分析出该加密js
回顾GoEdge投毒事件，附解决方案，附注册机域名,网址,字符串,澳洲,投毒

不光是分地区分设备跳转，甚至每个时段跳转的概率还不相等，还能根据你的网站分类量身定制，真是贴心啊

回顾GoEdge投毒事件，附解决方案，附注册机域名,网址,字符串,澳洲,投毒

经过大家在群里激烈的讨论，位于澳大利亚、比北京晚俩小时的群主，终于在北京时间12:50，悄悄地，上传了一个无毒的版本，试图掩盖一切。然后，随着一声“不信谣，不传谣”，群人数大大减少，大概是大家自己退群了吧

回顾GoEdge投毒事件，附解决方案，附注册机域名,网址,字符串,澳洲,投毒

如何解决？

根据我们前面的分析，发现仅在节点程序中夹杂了私货，但是仍建议全部回退5月20日早上的版本，避免后门。如果是在5月21日后安装的，建议立即回退
这里，感谢dv老板分享的谷歌盘存档

首先，我们要在主控屏蔽goedge域名，防止日后出现什么问题，执行下面命令即可

echo "127.0.0.1 goedge.cloud" | sudo tee -a /etc/hosts > /dev/nullecho "127.0.0.1 goedge.cn" | sudo tee -a /etc/hosts > /dev/nullcat /etc/hosts

复制代码

接着，把主控回退到5月20日版本
<strike>首先</strike>

复制代码

接着

./edge-admin upgrade --url=https://dl.naixi.net/cdn/goedge/goedgecn/edge-admin-linux-amd64-plus-v1.3.9.zip

复制代码

此处仅演示amd64架构，使用的URL由奶昔提供，感谢！不放心的换成自己的URL即可

前面提到，管理系统压缩包里面带的节点程序是晚上更新的，虽然只是换了个网址，但是仍建议使用早上的版本，所以我们执行一步替换，此处仍使用奶昔提供的下载服务

cd 安装目录，例如 /usr/local/goedge/edge-admin/edge-api/deploy

复制代码

然后，删除原有的文件

rm -rf edge-node-linux-amd64-plus-v1.3.9.1.zip

复制代码

获取早上的版本

wget -O edge-node-linux-amd64-v1.3.9.zip https://dl.naixi.net/cdn/goedge/goedgecn/edge-node-linux-amd64-plus-v1.3.9.zip

复制代码

到这，主控就重装好了，不过要提醒的是，检查一下这个目录/edge-admin/edge-api/deploy 里面有没有比1.3.9更高版本的文件，有的话删掉

⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯

只是重装主控可不行，投毒投在节点啊 确保已经安装curl、unzip 看看节点程序装在哪个目录，如果是/root/edge-node，执行如下

rm -rf /usr/local/goedgecd /root/edge-node./edge-node/bin/edge-node cache.garbage --deletecurl -L "https://dl.naixi.net/cdn/goedge/goedgecn/edge-node-linux-amd64-plus-v1.3.9.zip" -o edge-node-linux-amd64-plus.zip -C - -#./edge-node/bin/edge-node stoprm -rf ./edge-node/datarm -rf ./edge-node/binrm -rf /opt/cacheunzip -o edge-node-linux-amd64-plus.zip./edge-node/bin/edge-node restartrm -rf *.zipmkdir /opt/cache

复制代码

看看节点程序装在哪个目录，如果是/usr/local/goedge，执行如下

rm -rf /root/edge-nodecd /usr/local/goedge./edge-node/bin/edge-node cache.garbage --deletecurl -L "https://dl.naixi.net/cdn/goedge/goedgecn/edge-node-linux-amd64-plus-v1.3.9.zip" -o edge-node-linux-amd64-plus.zip -C - -#./edge-node/bin/edge-node stoprm -rf ./edge-node/datarm -rf ./edge-node/binrm -rf /opt/cacheunzip -o edge-node-linux-amd64-plus.zip./edge-node/bin/edge-node restartrm -rf *.zipmkdir /opt/cache

复制代码

需要说明的是，我们先删除了usr下的goedge，因为根据我的经验，节点自动升级的时候有可能会重复安装，具体怎么回事也说不清；我们删除了/opt/cache，这是默认的缓存目录，因为缓存中可能存在投毒后的页面，如果你还有其他缓存目录，需要自行清除，如果体量太大，直接重装系统得了
如果你执行错了，说明你不适合手动操作，直接重装系统得了

⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯

奶昔论坛，建议直接使用第三方授权登陆，就不用验证邮箱了
https://t.me/Naixi2tg/2370
GoEdge 分遗产频道
https://t.me/goedge233

©DZ插件网所发布的一切资源仅限用于学习和研究目的；不得将上述内容用于商业或者非法用途，否则，一切后果请用户自负。
网站部分内容来源于网络，版权争议与本站无关。您必须在下载后的24个小时之内，从您的电脑中彻底删除上述内容。如果您喜欢该程序，请支持正版软件，得到更好的正版服务。
您在本站任何的赞助购买、下载、查阅、回复等行为等均表示接受并同意签订《DZ插件网免责声明协议》。
如有侵权请邮件与我们联系处理: discuzaddons@vip.qq.com 并出示相关证明以便删除。敬请谅解！