立即注册  找回密码
 立即注册
CeraNetworksBGVM服务器主机交流会员请立即修改密码Sharktech防护
查看: 224|回复: 0

回顾GoEdge投毒事件,附解决方案

[复制链接]

回顾GoEdge投毒事件,附解决方案

[复制链接]

4

主题

6

回帖

220

积分

中级会员

积分
220
yukaidi

4

主题

6

回帖

220

积分

中级会员

积分
220
2024-7-26 18:59:46 | 显示全部楼层 |阅读模式
事件回顾

在2024年5月中下旬,GoEdge QQ群聊解散,群主超哥失联于5月20日,在这天上午九点和下午六点都发布了更新

这天上午9点发布的更新版本为1.3.9
[ol]
  • 节点程序文件 edge-node MD5 8EBAC47C212DBB41CC0B2B9C6D4B32E4
  • 节点程序压缩包 edge-node-linux-amd64-plus-v1.3.9.zip MD5 D6B495249683D981DEA15B5BAD97ACDB[/ol]复制代码
    在下午6点左右,上传了新的管理系统,管理系统压缩包中,带有一个节点程序的压缩包,是给edge-api准备的,但是这个节点程序修改日期居然是下午六点,与admin的临近
    [ol]
  • 节点程序文件 edge-node MD5 54D7FDD77A1DBB8431B186BAC03C6429
  • 节点程序压缩包 edge-node-linux-amd64-v1.3.9.zip MD5 88D96C2696C7F842BCEE66B833412571
  • 管理平台压缩包 edge-admin-linux-amd64-plus-v1.3.9.zip MD5 FFDF4E395BE3096787396C46F4B793CF[/ol]复制代码
    这显然不对劲,难道是超哥亲自夹杂的私货吗? 带着疑问,我们来静态分析一下,这里就不手搓了,直接用微步云沙箱,刚修完几十个节点,眼有点花了 首先是早上九点的1.3.9,上传文件到沙箱,根据目前的投毒情况,节点程序文件的字符串中会出现这样一条URL
    [ol]
  • https://cdn.jsdelivr.vip/jquery.min-3.7.0.js[/ol]复制代码
    也就是说,我们只需要看字符串中有没有可以URL就可以了,至于有没有后门,咱也分析不了呀 打开报告,我们看沙箱提取好的URL

    然后,是晚上六点的1.3.9,打开报告,看沙箱提取好的URL

    此时发现,并没有什么不同,只是域名从cn变成了cloud,这上午还是cn,下午就是cloud了,好神奇,我们先保留这个疑问 根据我的回忆,经过几天的沉寂,在22号,goedge的TG群组回归了

    已经编译好发布了好几天,下载下来MD5变了,修改日期居然变5月24号了?报告
    [ol]
  • 节点程序文件 edge-node MD5 54D7FDD77A1DBB8431B186BAC03C6429[/ol]复制代码
    近日,有许多GoEdge用户发现,网站页面尾部会插入一段js代码

    首先分析一下修改日期为7月10日的1.4.1的节点程序
    [ol]
  • 节点程序文件 edge-node MD5 D08FB882642BC1CD423F44F4F4B0C852
  • 节点程序压缩包 edge-node-linux-amd64-plus-v1.4.1.zip MD5 D7AF8DD45334E7C3EFB8DB7D8D8933C5[/ol]复制代码
    查看报告发现,出现了一条逆天的URL
    [ol]
  • https://cdn.jsdelivr.vip/jquery.min-3.7.0.js[/ol]复制代码
    身处澳洲的群主,引用jsdelivr,等等,e呢? 资源,居然还贴心地给我们用了加速?!我真的太感动了啊,就是这链接不太对劲啊,我记得不是这个格式啊,难道是下载服务器ssh密码泄露了,被植入病毒了?

    不对呀,这旧版本和新版本编译器咋还换了呢,这不对吧,有人说,说是有人在这汤里下了毒


    26日凌晨



    群友发现,自己的网站末尾夹杂了私货,经过大家的探讨发现,[ol]
  • echo "127.0.0.1 goedge.cloud" | sudo tee -a /etc/hosts > /dev/null
  • echo "127.0.0.1 goedge.cn" | sudo tee -a /etc/hosts > /dev/null
  • cat /etc/hosts[/ol]复制代码
    接着,把主控回退到5月20日版本
    首先
    [ol]
  • cd 主控安装目录[/ol]复制代码
    接着
    [ol]
  • ./edge-admin upgrade --url=https://dl.naixi.net/cdn/goedge/goedgecn/edge-admin-linux-amd64-plus-v1.3.9.zip[/ol]复制代码
    此处仅演示amd64架构,使用的URL由奶昔提供,感谢!不放心的换成自己的URL即可
    前面提到,管理系统压缩包里面带的节点程序是晚上更新的,虽然只是换了个网址,但是仍建议使用早上的版本,所以我们执行一步替换,此处仍使用奶昔提供的下载服务
    [ol]
  • cd 安装目录,例如 /usr/local/goedge/edge-admin/edge-api/deploy[/ol]复制代码
    然后,删除原有的文件
    [ol]
  • rm -rf edge-node-linux-amd64-plus-v1.3.9.1.zip[/ol]复制代码
    获取早上的版本
    [ol]
  • wget -O edge-node-linux-amd64-v1.3.9.zip https://dl.naixi.net/cdn/goedge/goedgecn/edge-node-linux-amd64-plus-v1.3.9.zip[/ol]复制代码
    到这,主控就重装好了,不过要提醒的是,检查一下这个目录/edge-admin/edge-api/deploy 里面有没有比1.3.9更高版本的文件,有的话删掉
    ⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯
    只是重装主控可不行,投毒投在节点啊 确保已经安装curl、unzip 看看节点程序装在哪个目录,如果是/root/edge-node,执行如下
    [ol]
  • rm -rf /usr/local/goedge
  • cd /root/edge-node
  • ./edge-node/bin/edge-node cache.garbage --delete
  • curl -L "https://dl.naixi.net/cdn/goedge/goedgecn/edge-node-linux-amd64-plus-v1.3.9.zip" -o edge-node-linux-amd64-plus.zip -C - -#
  • ./edge-node/bin/edge-node stop
  • rm -rf ./edge-node/data
  • rm -rf ./edge-node/bin
  • rm -rf /opt/cache
  • unzip -o edge-node-linux-amd64-plus.zip
  • ./edge-node/bin/edge-node restart
  • rm -rf *.zip
  • mkdir /opt/cache
  • [/ol]复制代码
    看看节点程序装在哪个目录,如果是/usr/local/goedge,执行如下
    [ol]
  • rm -rf /root/edge-node
  • cd /usr/local/goedge
  • ./edge-node/bin/edge-node cache.garbage --delete
  • curl -L "https://dl.naixi.net/cdn/goedge/goedgecn/edge-node-linux-amd64-plus-v1.3.9.zip" -o edge-node-linux-amd64-plus.zip -C - -#
  • ./edge-node/bin/edge-node stop
  • rm -rf ./edge-node/data
  • rm -rf ./edge-node/bin
  • rm -rf /opt/cache
  • unzip -o edge-node-linux-amd64-plus.zip
  • ./edge-node/bin/edge-node restart
  • rm -rf *.zip
  • mkdir /opt/cache
  • [/ol]复制代码
    需要说明的是,我们先删除了usr下的goedge,因为根据我的经验,节点自动升级的时候有可能会重复安装,具体怎么回事也说不清;我们删除了/opt/cache,这是默认的缓存目录,因为缓存中可能存在投毒后的页面,如果你还有其他缓存目录,需要自行清除,如果体量太大,直接重装系统得了 如果你执行错了,说明你不适合手动操作,直接重装系统得了
  • 回复

    使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    Archiver|小黑屋|HS2V主机综合交流论坛

    GMT+8, 2024-12-23 14:49 , Processed in 0.014202 second(s), 2 queries , Gzip On, Redis On.

    Powered by Discuz! X3.5

    © 2001-2024 Discuz! Team.

    快速回复 返回顶部 返回列表