AkaGhost

V2EX 第 464598 号会员，加入于 2020-01-12 17:22:04 +08:00

今日活跃度排名 7868

Ghost-chu

AkaGhost 提问技术话题好玩工作信息交易信息城市相关

根据 AkaGhost 的设置，主题列表被隐藏

二手交易相关的信息，包括已关闭的交易，不会被隐藏

AkaGhost 最近回复了

5 小时 47 分钟前

回复了 Untu 创建的主题 › 宽带症候群 › 恶意刷 BT 流量的与其说是 PCDN 干的更像是网盘公司干的

@A1188 我是 PBH 的开发者，因为提到 PBH 了所以我来说一下。

首先数据中心刷流量是肯定有的，其中一部分节点暴露了 Node Explorer ，可以从上面的信息上看到是专业的服务器。我相当怀疑是机房自己在刷，因为根据 IP 我找到了他们的官网，刷流 IP 段完美覆盖了官网上他们机房的所有位置和线路，而且 hostname 也写的非常清楚。此外带宽非常之高，IP 也非常多，正常租客很难拥有如此海量和丰富的资源。截至目前，数据中心是刷流主力。凭借 IDC 网络的特殊对待，这部分 Peer 连接性极佳，而且没有 QOS 和限速。

123 网盘作为早期怀疑对象之一，我跟了一年，直到目前都确实没有直接指向这家公司的证据。你可以认为 123 自己没下场搅和。

PCDN 是有的，这个非常确定。除了个人自己刷的，一部分 PCDN 服务提供商（公司）直接下场，在边缘节点大规模批量部署刷流客户端，这个我也跟了很久。

2025 年 12 月 13 日

回复了 abc8678 创建的主题 › Android › 小米 fold3 内屏漏液，纠结换机还是换屏幕。想继续使用 root 的手机好像难搞了

> 不知道 coloros 是不是也分开，左边下拉和右边下拉分开就有点不太习惯，我做个心理准备

@abc8678 设置-通知与控制中心-通知中心-从分离模式改成经典模式

2025 年 12 月 13 日

回复了 abc8678 创建的主题 › Android › 小米 fold3 内屏漏液，纠结换机还是换屏幕。想继续使用 root 的手机好像难搞了

> 一加现在支持多应用音量单独控制吗？以前选小米的其中一个原因

@abc8678 支持的，有应用播放声音的时候，按一下音量键最下面有一个条件按钮，点进去可以对不同应用音量单独调整。

2025 年 11 月 15 日

回复了 Hermitist 创建的主题 › 程序员 › 飞牛 nas 想搞个虚拟机做软路由, 请问有教材吗?

路由器单买，毕竟不管是什么远程控制，路由器挂了没网了就都不好使了。网络方面稳定优先。实在有需求去搞旁路由+终端设备手动指定网关

2025 年 10 月 20 日

回复了 frankfnck 创建的主题 › NAS › 个人网络拓扑分享，请教可优化的部分

> 在看哔哩哔哩的时候，经常会遇到直接视频暂停要缓冲，重新进一下视频就又能预览

和 OP 的网络关系不大，我的电信和移动都这样，B 站降本增效往 PCDN 调度导致的。

2025 年 9 月 29 日

回复了 Toadair 创建的主题 › 程序员 › macos 中了 MAC/Agent.FD!tr.pws 木马,如何能揪出木马隐藏在哪里？

@petercui 手动破坏一下 tasks/xxx 后面的 ID 串，服务器返回了一个 `Bad botid` 响应，感觉是 C2 服务器。

给定的 `https://dicoduweb.com/get15/update` 伪装了 404 错误，实际上只有 curl 的 User-Agent 才返回 payload 。我这里卡巴斯基已经报毒了：

```
事件: 下载被拒绝
用户: BEELZEBUL\ghost
用户类型: 发起者
应用程序名称: curl.exe
应用程序路径: C:\Program Files\Git\mingw64\bin
组件: 安全浏览
结果描述: 已阻止
类型: 木马
名称: HEUR:Trojan-PSW.OSX.Amos.ba
精确度: 启发式分析
威胁级别: 高
对象类型: 文件
对象名称: arch1
对象路径: https://dicoduweb.com/get15/update//
对象的 MD5: 00CAC0E5943AD7AA4073462D8498D1A9
原因: 专家分析
数据库发布日期: 昨天，2025/9/28 23:22:00
```

VirusTotal 上已经有人上传过样本了： https://www.virustotal.com/gui/file/143174d17e1e2f05e957e63ef6a8b4a6ac77165bad70c45ccb0dcd2ca39375f8 不知道是不是楼主上传的，2 小时前 (相对 9/29 0:48)。

微步沙箱我刚刚也上传了： https://s.threatbook.com/report/file/143174d17e1e2f05e957e63ef6a8b4a6ac77165bad70c45ccb0dcd2ca39375f8

行为带有虚拟机检测，明摆着检测 QEMU 。

Google 一下，这个家族已经活跃了有多时间了： https://www.google.com/search?q=amos%2Finfostl

这里有个详细的分析： https://www.trendmicro.com/en_gb/research/25/i/an-mdr-analysis-of-the-amos-stealer-campaign.html

主要目标是：

* 系统配置文件信息
* 用户名和密码
* 主要各类浏览器的相关数据（包括 Cookies 等）
* 加密钱包数据
* Telegram 会话数据
* OpenVPN 配置文件
* 钥匙串数据
* Apple Notes 数据
* 来自桌面、文档、下载文件夹和其它位置的个人文档（ txt, pdf, docx, json, db, wallet, key ）

其它感染过程和具体行为 OP 请自行查看分析文章。

---

事到如今就别想着移除，直接抹了系统重装吧。密码什么的也该改改吧。顺带一提这个样本很多杀毒软件的引擎都没能检出来……

2025 年 9 月 26 日

回复了 izjing666 创建的主题 › NAS › 想搞一台 nas 放家里，求助方案

@izjing666 #37 差钱就不应该考虑 NAS……机器贵、硬盘也很贵。持续运行的电费也是一笔支出。而且，为了避免硬盘断电暴毙，一般要再加一台 UPS……
更别提你要保证数据安全还要 3-2-1 ，异地备份更贵了。

2025 年 9 月 25 日

回复了 Yaavi 创建的主题 › 反馈 › 我居然有 0.21 铜币

刚刚观察了一下，我回复了一个帖子后现在是 99 银币 0.77 铜币，余额显示有小数点，但之前铜币开头不是 0 的时候是没有小数点的。所以逻辑应该是 0-1 之间显示小数点，>= 1 后就不显示了。

2025 年 9 月 25 日

回复了 villivateur 创建的主题 › 云计算 › 阿里云轻量应用服务器居然 200M 带宽不限流量，是真是假？

@livid chivalryflamen 这个账号最近在各个帖子底下大面积留言代理广告信息，今天点进去好几个帖子只要和服务器擦点边底下都能看到他的广告信息。

翻了一下资料页，注册于 2010 年，近年一直没有任何回复活动，突然从 3 天前大到处发布广告，感觉是账号被卖掉了。

» AkaGhost 创建的更多回复