Home Sign Up Sign In
请不要把任何和邀请码有关的内容发到 NAS 节点。

邀请码相关的内容请使用 /go/in 节点。

如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
hausen
V2EX  ›  NAS

求解答,关于 alist 泄露问题

  •  1      
  •   hausen · May 29, 2025 · 3155 views
    This topic created in 394 days ago, the information mentioned may be changed or developed.
    之前本地搭建的 alist 使用云服务器暴露在公网上,之前一直有开二验,但是由于开二验不能被其他 list 挂载就关闭了二验证。

    今天突然发现云服务器上传消耗巨大,才发现有人一直尝试下载 alist 文件,都是携带签名进行下载如 `?sign=T42d4vbRHIzxxAfAS3fTV9c3mUGU7nlvdivEH7lFfGc=:0`,应该是没有泄露账号密码的可能。并且下载也没有很大规律,并且下载的基本也不是重要文件,所以不清楚这是不是机器扫描的行为。

    现在就有疑问不知道是漏洞我做了什么操作导致的? alist 版本是 v3.45.0
  • aList
  • 泄露
  • 下载
    16 replies    2025-06-11 11:08:50 +08:00
    gunner168
        1
    gunner168  
       May 29, 2025
    吓得我赶紧把 Alist 给卸载了,现在各家网盘不开会员下载基本不可用,本地数据备份到网盘又怕大上传运营商判定为 pcdn ,实在鸡肋
    ayanami520
        2
    ayanami520  
       May 29, 2025
    有个叫佛法的网站可以扫的,之前 YouTube 一堆教程教你扫别人的 Alist 或者 BPB 面板(进去偷代理)
    BetterJason
        3
    BetterJason  
       May 29, 2025
    还有 cloudDrive2 也别用,把我 nas 当肉鸡一直在上传东西
    PerFectTime
        4
    PerFectTime  
       May 29, 2025
    开 guest 了?
    hausen
        5
    hausen  
    OP
       May 29, 2025
    @PerFectTime 没开,不知道什么情况搞的
    darklinden
        6
    darklinden  
       May 29, 2025
    前几天下 windows 镜像发现 msdn I tell you 的 bt 没种,
    Google 文件名发现一堆 alist 以为是哪路菩萨造福群众的,都是下到 80%-90%断了无法续传...

    又搜了半天找到个度盘,下完 check sha1 sha256 正常用了...

    看到这个帖子,该不会是...😨
    hausen
        7
    hausen  
    OP
       May 29, 2025
    @darklinden 不好说什么情况,反正东西是泄露了,现在目前猜测是 raidrive ,
    czzt1
        8
    czzt1  
       May 30, 2025
    开 ssl 了吗,webdav 是明文的,没 ssl 等于裸奔
    hausen
        9
    hausen  
    OP
       May 30, 2025 via Android
    @czzt1 开了,现在感觉是下载的 raidrive 有问题,把挂载的 alist 的 302 转发带签名的给泄露出去了
    Nitsuya
        10
    Nitsuya  
       May 30, 2025
    @hausen #9 确定么, 我也在用 raidrive, 但是挂的小东西, 又是重要文件,
    ddczl
        11
    ddczl  
       May 30, 2025
    alist 我都只敢开内网
    hausen
        12
    hausen  
    OP
       May 30, 2025
    @Nitsuya 目前关掉没出现这种情况,我不清楚是不是我下载的这个有问题,忘记哪里下载的了。刷新 token 以后,并且关闭 raidrive 目前没出现过其他访问的情况。晚点再开启软件试试
    hausen
        13
    hausen  
    OP
       May 30, 2025
    @ddczl 内网最主要是很多时候不方便
    psllll
        14
    psllll  
       May 31, 2025 via Android
    开游客了? 或者弱密码被爆破了
    lecia
        15
    lecia  
       Jun 11, 2025
    https://www.v2ex.com/t/1137764 突然发现有痕可循了🤔
    hausen
        16
    hausen  
    OP
       Jun 11, 2025
    @lecia 我也怀疑极有可能
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   2674 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 69ms · UTC 01:59 · PVG 09:59 · LAX 18:59 · JFK 21:59
    ♥ Do have faith in what you're doing.