X 平台看到一个脚本

？？？难不成你还真的直接执行？

有这种攻击的 POC

同一个脚本 URL ，浏览器访问 & curl 访问可以响应不同的内容

哈哈，来路不明的 shell 直接执行

@kk2syc 没敢执行，这事原 po 主的图

这和陌生邮件收个 .exe 直接双击有啥区别。

还支持一键升级 Bash 到 4.0 版本，有点贴心了😂

下下来看看再执行不就行了？看内容像是综合了一堆 api ？

https://pastebin.mozilla.org/ovsprvMU

乍一看倒是若有其事的样子。。。
具体有冇埋什么炸弹就不晓得了。。。

看着头头是道 但是不敢跑🤣

看到这个，我想起来了，前几天有人在本站发过这个 链接

https://v2ex.com/t/1051493

不但要信任作者没坏心眼，同时也要信任作者安全工作做得到位不被挂马

这个脚本在 github 有开源的。

https://github.com/xykt/IPQuality

说实话 如果它指向的链接是 raw.githubcontent.com 我点进去看看作者还敢运行 这种个人域名说实话不敢。就怕它分发的内容我看到的和实际执行的不一样 或者干脆就是概率性的随机返回正常和不正常的内容。点进去看好像没啥特别的，就是调用一堆接口传进去 IP 查信息，有条件做成 serverless 托管到 cf 上之类的变成类似 curl ip.sb 这样的就没有这种顾虑了

那个数据统计……不显示还好，一显示我心慌

@koast 这里面很多 api 必须从本机调用

浏览器访问会直接跳转到 https://raw.githubusercontent.com/xykt/IPQuality/main/ip.sh
如果担心作者加料的话可以把网址替换成这个

@FlossStunning 担心加料难道不应该是把脚本下回来展开查看吗？ 用 GitHub 链接就安全了吗？

真想这样用，代码过一遍自己搭

这种一键下载脚本是真危险还不是 https ，中间人给你加点料😅

看了一下源码，还好

自从看了之前那个长滚动条滚到最右边给你加点料的源码后 现在看源码都得滚一滚😂

已经装在下载机的虚拟机上使用哈哈哈

你们担心脚本恶意的，直接
curl http://IP.Check.Place
下来看一眼不就完了.....

有什么不敢的， 直接执行。

刚刚试了一下不知道是什么


https://report.check.place/IP/1ORQORGPY.svg

@chanwang git 有提交历史可以看，开源问题不大。

用的 fish ，上来就执行失败了，直接在服务器操作的，想想有点害怕。

MJJ 的娱乐脚本，已经出了快一个月了，作者 xy ，也是一位 mjj

一键脚本只适合娱乐，建议新建虚拟机隔离运行。用完就删虚拟机。

老早就在用了，之前就缝合怪不过展现的没这么好看而已

我想问 怎么上传的图片？

这些字段知道了有啥用？

@kevintao1024 有语法学一下就行。不想学搜索一下 V2EX polish 插件（类似插件很多，自己选择，这里不做推荐）。安装后直接复制粘贴图片，插件会自己上传图床并展示

挂在 docker 里面跑一下不就行了。

@nyxsonsleep #34 如果能逃逸 docker 虚拟环境，应该舍不得公开出来吧。