怀疑bt.sb的开心版有后门
<i class="pstatus"> 本帖最后由 1121744186 于 2025-4-16 14:12 编辑 </i><br /><br />
RT~ 有没有用这个开心版,后半夜跳H的?<br />
<br />
---------------------------------------<br />
<br />
为什么没有石锤呢?因为现在的后门安插的比较深,最早以前还只是替换nginx+修改conf来给响应插入js,后面又经历了 goedge 明文编码方式,这种都不算高明,只是 goedge 被人破解的时候,人家拿 IDA 发现 二进制 里面有 明文的 js 路径,才被发现的。<br />
<br />
在就是 51.la 投毒,和 BootCDN 投毒 ~ 总结都是背后都是一个叫 “方能” 的公司,跳转手段都是 后半夜,手机流量跳,抖yin、苹果、H播 ~ <br />
<br />
<br />
------------------------------------------------------<br />
<br />
仅做提醒,当下准备将这个环境全部替换了,再观察 你这个傻逼,有人叫你用了? <div class="quote"><blockquote><font size="2"><a href="https://hostloc.com/forum.php?mod=redirect&goto=findpost&pid=16333380&ptid=1403258" target="_blank"><font color="#999999">tomcb 发表于 2025-4-16 13:41</font></a></font><br />
楼主有石锤吗?</blockquote></div><br />
检查过程序没发现问题,也都是强制SSL过程中不会被劫持跳转,大概率问题就是在面板和NGINX上,看作风(三更半夜才会跳)这就是国人的作风~ 以前就有过类似的事件,nginx 被替换给body插入js 用adguard作为上游,劫持本机dns去看,发现半夜有来自本机的莫名其妙的dns查询日志,怕误判专门dd的干净系统,只装宝塔,然后卸载了就没有了,从此以后不敢用了 一直用<a href="https://aapanel.me" target="_blank">aapanel.me</a><br />
后来换域名了 <a href="https://baota.la" target="_blank">baota.la</a><br />
用几年了 没什么问题<br />
<span style="float:right;margin-left:5px"><br />
<br />
<br />
<img id="aimg_R2FyN" onclick="zoom(this, this.src, 0, 0, 0)" class="zoom" src="https://img.loliapi.cn/i/pp/img153.webp" onmouseover="img_onmouseoverfunc(this)" onload="thumbImg(this)" border="0" alt="" /></span> 我怀疑linux 系统有后门<br />
RT~ 有没有用linux,后半夜跳H的?<br />
楼主有石锤吗? <div class="quote"><blockquote><font size="2"><a href="https://hostloc.com/forum.php?mod=redirect&goto=findpost&pid=16333371&ptid=1403258" target="_blank"><font color="#999999">总角 发表于 2025-4-16 13:37</font></a></font><br />
一直用aapanel.me<br />
后来换域名了 baota.la<br />
用几年了 没什么问题</blockquote></div><br />
如果我已经安装了bt.sb 怎么换这个啊? 检查一下程序有没有用第三方静态资源,比如js 跳哪个黄站可以发出来 大概率就知道是哪个程序出的问题