epiphyllum 最近的时间轴更新 epiphyllum 最近的时间轴更新 |
epiphyllumV2EX 第 679565 号会员,加入于 2024-03-09 22:44:00 +08:00 |
epiphyllum 最近回复了
1 天前 回复了 Duolingo 创建的主题 › 信息安全 › 火绒阻止了两个奇怪的请求。clash 跑路后,新版内核是否存在问题? |
1. 这网站是不是后门?
通过 Google 搜索域名关键词`uhsea.com`可以看到其主页是 https://www[.]uhsea[.]com/;
访问得知这是一个文件分享站,其注册门槛极低甚至支持游客上传,很容易被恶意软件开发者滥用。
因为现代恶意软件(甚至哪怕是 10 年前的恶意软件)往往都会先给目标通过命令行/脚本/小体积二进制等形式的加载器从网络上下载执行实际恶意逻辑的木马,以此免杀/绕过检测+方便分发;这种注册门槛低的文件托管站由于其匿名性高利用成本低很容易被攻击者盯上。
继续看搜索结果,在 abuse.ch 发现有被僵尸网络传木马二进制的历史:
https://urlhaus.abuse.ch/host/file.uhsea.com/
Google 搜索结果下紧接着还有一条“file.uhsea.com 这个图床已经关了吗?”的搜索结果,得知该文件分享站还被作为图床用途使用过:
结论:
- Google 一下很多疑问都能直接解决(
- `file[.]uhsea[.]com`是无辜网站,被攻击者滥用+报告后遭多个网址安全服务拦截。
- 由于`file[.]uhsea[.]com`所传文件均通过直链方式提供,有人使用它作为图床服务。例如,当你访问包含这些图片引用的博客/论坛时,浏览器会自动给`file[.]uhsea[.]com`发 http(s)请求加载图片;
然而安全软件基于隐私与性能等各方面的考量 往往不会关心这个 http 响应传输了什么,只是看到有危险域名就掐掉。
========
2. 这种情况能不能代表 XX 代理软件有后门?
有安全意识是好的,但是我们需要知道,代理软件在这里做的只是转发了浏览器或者用户在上网时发送的请求。
举个例子,我可以使用 python/node/ruby 启动代理服务器:,然后用 curl 经过代理访问一下:
显然我们不能说“python 有后门/pypi 上有后门/nodejs 有后门/npm 上有后门/ruby 有后门”
========
3. 题外话:那 svchost.exe 是怎么回事?不少恶意软件开发者都挺喜欢注入 svchost.exe 来隐藏自身的
在 Windows 上,操作系统的 DNS 客户端与缓存服务(dnsrslvr.dll)运行在 svchost.exe 里;
无论是在地址栏按下回车的瞬间,还是自动加载媒体/脚本等资源的时刻,除 HTTP(S)/TLS 外,DNS 请求同为访问/请求的重要一环也往往会被安全软件检测拦截。
通过 Google 搜索域名关键词`uhsea.com`可以看到其主页是 https://www[.]uhsea[.]com/;
访问得知这是一个文件分享站,其注册门槛极低甚至支持游客上传,很容易被恶意软件开发者滥用。
因为现代恶意软件(甚至哪怕是 10 年前的恶意软件)往往都会先给目标通过命令行/脚本/小体积二进制等形式的加载器从网络上下载执行实际恶意逻辑的木马,以此免杀/绕过检测+方便分发;这种注册门槛低的文件托管站由于其匿名性高利用成本低很容易被攻击者盯上。
继续看搜索结果,在 abuse.ch 发现有被僵尸网络传木马二进制的历史:
https://urlhaus.abuse.ch/host/file.uhsea.com/
Google 搜索结果下紧接着还有一条“file.uhsea.com 这个图床已经关了吗?”的搜索结果,得知该文件分享站还被作为图床用途使用过:
结论:
- Google 一下很多疑问都能直接解决(
- `file[.]uhsea[.]com`是无辜网站,被攻击者滥用+报告后遭多个网址安全服务拦截。
- 由于`file[.]uhsea[.]com`所传文件均通过直链方式提供,有人使用它作为图床服务。例如,当你访问包含这些图片引用的博客/论坛时,浏览器会自动给`file[.]uhsea[.]com`发 http(s)请求加载图片;
然而安全软件基于隐私与性能等各方面的考量 往往不会关心这个 http 响应传输了什么,只是看到有危险域名就掐掉。
========
2. 这种情况能不能代表 XX 代理软件有后门?
有安全意识是好的,但是我们需要知道,代理软件在这里做的只是转发了浏览器或者用户在上网时发送的请求。
举个例子,我可以使用 python/node/ruby 启动代理服务器:,然后用 curl 经过代理访问一下:
显然我们不能说“python 有后门/pypi 上有后门/nodejs 有后门/npm 上有后门/ruby 有后门”
========
3. 题外话:那 svchost.exe 是怎么回事?不少恶意软件开发者都挺喜欢注入 svchost.exe 来隐藏自身的
在 Windows 上,操作系统的 DNS 客户端与缓存服务(dnsrslvr.dll)运行在 svchost.exe 里;
无论是在地址栏按下回车的瞬间,还是自动加载媒体/脚本等资源的时刻,除 HTTP(S)/TLS 外,DNS 请求同为访问/请求的重要一环也往往会被安全软件检测拦截。
15 天前 回复了 q2316367743 创建的主题 › 分享创造 › 自研了一款轻量级 Elasticsearch 桌面客户端(ES-Client),开源 + 专业版都有,送 20 个 Pro 激活码求体验! |
有一些问题:
0. 下载站的`/api/v1/app/download/info?appKey=xxxxxxx`这个 API 返回的包含下载信息的 JSON 有错误,`downloadUrl`字段里的"tauriKey"应该改成"electronKey"
1. 应用内更新检查调用的 API 返回的下载链接是 null
2. 用于保存配置 SQLite 数据库似乎没有初始化/初始化失败,打开后程序提示大量数据库错误,用火绒剑找到数据库位置后发现"db.sqlite"里只有元数据表
0. 下载站的`/api/v1/app/download/info?appKey=xxxxxxx`这个 API 返回的包含下载信息的 JSON 有错误,`downloadUrl`字段里的"tauriKey"应该改成"electronKey"
1. 应用内更新检查调用的 API 返回的下载链接是 null
2. 用于保存配置 SQLite 数据库似乎没有初始化/初始化失败,打开后程序提示大量数据库错误,用火绒剑找到数据库位置后发现"db.sqlite"里只有元数据表
23 天前 回复了 wisej 创建的主题 › 问与答 › 游戏加速器与梯子冲突怎么办? |
23 天前 回复了 wisej 创建的主题 › 问与答 › 游戏加速器与梯子冲突怎么办? |
哪款加速器?什么模式?🤔 市面上的加速器一般使用 netfilter 或者 windivert ,不同产品不同模式的规则和处理逻辑差距很大。
部分加速器的这个问题是没法解决的,有些则可以;建议补充更多信息。
部分加速器的这个问题是没法解决的,有些则可以;建议补充更多信息。
30 天前 回复了 Bocchi810 创建的主题 › Google › 使用移动宽带和阿里 DNS,大陆有服务器的 Google 域名被解析到境外的服务器 |
Google 的问题,详见 https://ex.noerr.eu.org/t/1171077#r_16959183
37 天前 回复了 canteon 创建的主题 › VPS › 求一个国外稳定的 vps,肯定是便宜的优先 |
考虑 1 稳定性 2 便宜优先 3 大流量的话,可以考虑一下欧洲的 OVHCloud 、Hetzner 、netcup 这几家中大厂()
首先稳定性的话,OVHCloud 和 Hetzner 这两家公司有 20 年以上的历史,netcup 也有 10 年以上的历史;并且它们都在一些区域有自己的数据中心和网络基础设施。
价格方面,按年付月均算,这三家都有日常正价小于 58usd / 12 = 4.83usd 的机器;遇到限时活动的价格会更低;
流量方面,这三家的流量限制基本上在每月几十 TB 到无限。
特点:
Hetzner:更类似于弹性云,可按小时计费;新客户有优惠额度;相对而言较容易注册(可自助 KYC );
https://www.hetzner.com/cloud
OVHCloud:数据中心位置分布广泛,分公司较多,每个分站优惠和业务稍有不同。据说爱尔兰分站的独立服务器优惠最大,美国分站较容易注册且可以购买美国地区的服务器;
https://us.ovhcloud.com/vps/
https://www.ovhcloud.com/en-ie/vps/
netcup:虚拟机优惠力度较大(经常有限时活动),新客户可领优惠;账单后付费;注册需提供水电单。
https://www.netcup.com/en
https://www.netcup.com/en/deals
缺点:
考虑到价格和流量,由于地理位置和市场,这几家欧洲厂商的一些服务器到中国内地的延迟可能较高。
注意:
这几家欧洲大厂相较于一些小厂的身份验证较为严格,尤其是对于中国内地的用户。
(利益相关:实际使用过上述公司的服务,链接均无 AFF
首先稳定性的话,OVHCloud 和 Hetzner 这两家公司有 20 年以上的历史,netcup 也有 10 年以上的历史;并且它们都在一些区域有自己的数据中心和网络基础设施。
价格方面,按年付月均算,这三家都有日常正价小于 58usd / 12 = 4.83usd 的机器;遇到限时活动的价格会更低;
流量方面,这三家的流量限制基本上在每月几十 TB 到无限。
特点:
Hetzner:更类似于弹性云,可按小时计费;新客户有优惠额度;相对而言较容易注册(可自助 KYC );
https://www.hetzner.com/cloud
OVHCloud:数据中心位置分布广泛,分公司较多,每个分站优惠和业务稍有不同。据说爱尔兰分站的独立服务器优惠最大,美国分站较容易注册且可以购买美国地区的服务器;
https://us.ovhcloud.com/vps/
https://www.ovhcloud.com/en-ie/vps/
netcup:虚拟机优惠力度较大(经常有限时活动),新客户可领优惠;账单后付费;注册需提供水电单。
https://www.netcup.com/en
https://www.netcup.com/en/deals
缺点:
考虑到价格和流量,由于地理位置和市场,这几家欧洲厂商的一些服务器到中国内地的延迟可能较高。
注意:
这几家欧洲大厂相较于一些小厂的身份验证较为严格,尤其是对于中国内地的用户。
(利益相关:实际使用过上述公司的服务,链接均无 AFF
38 天前 回复了 kenxu2023 创建的主题 › DNS › 阿里 DNS 将部分存在境内节点的谷歌域名解析到境外导致无法连接 |
同最近遇到这个问题,排查了一下感觉可能是 Google 的权威 DNS 解析器的锅,似乎 Google 的 DNS 服务器对阿里云和中国移动的配置存在错误的“特殊关照”🤔
===
排查思路&流程:
1. 众所周知权威 DNS 解析器一般通过递归解析器的出口 IP / EDNS Client Subnet 判断访客地理位置,于是我们可以找一个 dnslog 服务来抓一下阿里云递归解析器的出口 IP 。用 itdog 的拨测工具查询一下随机分配的域名,可以抓到以下 IP:
2. 这个 dnslog 似乎不能翻页(),就拿图中测试发现有问题的山西太原移动为例
用它的 183.201.217.0/24 作为 Client Subnet ,用国内移动的网络对 ns1.google.com 直接发起查询:
dig @ns1.google.com connectivitycheck.gstatic.com A +subnet=183.201.217.0/24 +norec
ns1.google.com 返回了美国 Google 的 142 开头的 IP 。这样直接请求的过程完全没经过阿里的服务器处理,暂时可以排除 alidns 的嫌疑了。
3. 起一个 Cloudshell 从阿里云的服务器上请求一次,还是同样的结果。
但是把 EDNS 里的客户端子网换成一个“干净的 IP 段”就能得到正确响应,例如我们这里用 sx.10086.cn 的 IP 地址试一下,可以看到 Google 返回了国内的 CDN:
dig @ns1.google.com connectivitycheck.gstatic.com A +subnet=183.203.36.0/24 +norec
(其它国内 IP 也行,哪怕 1.14.5.14/32 也可以
( dig @ns1.google.com connectivitycheck.gstatic.com A +subnet=1.14.5.14/32 +norec
4. 更神奇的来了,在腾讯云上请求 ns1.google.com 时,即使 EDNS Client Subnet 里填写“不干净的 IP”也能得到正确结果(这里换成电信/联通应该也可以,实测联通没问题):
=====
总结:
- 对于此类有国内 CDN 加速的 Google 服务,Google 的权威 DNS 服务器在遇到“阿里 DNS 查询上游所用的部分中国移动出口 IP 地址”时,会错误地返回国际 CDN IP 。
- 在内地使用腾讯云/中国联通/中国电信的 IP 或网络对 Google 的 DNS 服务器发起查询似乎不受影响。
- 该问题理论上与劫持无关,因为使用海外测试服务器可以得到与境内阿里云/中国移动类似的结果。
======
解决方法:
如果要继续使用阿里 DNS ,可以对客户端进行配置,为 AliDNS 配置一个 EDNS Client Subnet (阿里的公共递归 DNS 会转发 Client Subnet )。
mihomo 的配置方法见如下文档:
https://wiki.metacubex.one/config/dns/#_1
sing-box 的配置方法见如下文档:
https://sing-box.sagernet.org/migration/#__tabbed_1_13
https://sing-box.sagernet.org/zh/configuration/dns/rule_action/#client_subnet
(若要兼顾就近 CDN 调度与隐私,EDNS Client Subnet 的值一般可以随便填写一个同市/省会的 IP
===
排查思路&流程:
1. 众所周知权威 DNS 解析器一般通过递归解析器的出口 IP / EDNS Client Subnet 判断访客地理位置,于是我们可以找一个 dnslog 服务来抓一下阿里云递归解析器的出口 IP 。用 itdog 的拨测工具查询一下随机分配的域名,可以抓到以下 IP:
2. 这个 dnslog 似乎不能翻页(),就拿图中测试发现有问题的山西太原移动为例
用它的 183.201.217.0/24 作为 Client Subnet ,用国内移动的网络对 ns1.google.com 直接发起查询:
dig @ns1.google.com connectivitycheck.gstatic.com A +subnet=183.201.217.0/24 +norec
ns1.google.com 返回了美国 Google 的 142 开头的 IP 。这样直接请求的过程完全没经过阿里的服务器处理,暂时可以排除 alidns 的嫌疑了。
3. 起一个 Cloudshell 从阿里云的服务器上请求一次,还是同样的结果。
但是把 EDNS 里的客户端子网换成一个“干净的 IP 段”就能得到正确响应,例如我们这里用 sx.10086.cn 的 IP 地址试一下,可以看到 Google 返回了国内的 CDN:
dig @ns1.google.com connectivitycheck.gstatic.com A +subnet=183.203.36.0/24 +norec
(其它国内 IP 也行,哪怕 1.14.5.14/32 也可以
( dig @ns1.google.com connectivitycheck.gstatic.com A +subnet=1.14.5.14/32 +norec
4. 更神奇的来了,在腾讯云上请求 ns1.google.com 时,即使 EDNS Client Subnet 里填写“不干净的 IP”也能得到正确结果(这里换成电信/联通应该也可以,实测联通没问题):
=====
总结:
- 对于此类有国内 CDN 加速的 Google 服务,Google 的权威 DNS 服务器在遇到“阿里 DNS 查询上游所用的部分中国移动出口 IP 地址”时,会错误地返回国际 CDN IP 。
- 在内地使用腾讯云/中国联通/中国电信的 IP 或网络对 Google 的 DNS 服务器发起查询似乎不受影响。
- 该问题理论上与劫持无关,因为使用海外测试服务器可以得到与境内阿里云/中国移动类似的结果。
======
解决方法:
如果要继续使用阿里 DNS ,可以对客户端进行配置,为 AliDNS 配置一个 EDNS Client Subnet (阿里的公共递归 DNS 会转发 Client Subnet )。
mihomo 的配置方法见如下文档:
https://wiki.metacubex.one/config/dns/#_1
sing-box 的配置方法见如下文档:
https://sing-box.sagernet.org/migration/#__tabbed_1_13
https://sing-box.sagernet.org/zh/configuration/dns/rule_action/#client_subnet
(若要兼顾就近 CDN 调度与隐私,EDNS Client Subnet 的值一般可以随便填写一个同市/省会的 IP
82 天前 回复了 ZzzWatch 创建的主题 › 程序员 › 阿里 Qwen coder 的底层是 claude 吗? |
测试了 Qwen 最新的 max 和 coder ,把 top_p 拉到最低、temperature 拉到最高也复现不了这个问题
这种情况明显是受其它提示词干扰造成的
这种情况明显是受其它提示词干扰造成的
87 天前 回复了 julyclyde 创建的主题 › iPhone › 现在还有没有办法复制 SIM 卡了? |
Select Language