全球主机交流论坛

标题: 严重！alist已被卖投毒！还是熟悉的贵州某公司 [打印本页]

作者: dole 时间: 2025-6-11 00:18
标题: 严重！alist已被卖投毒！还是熟悉的贵州某公司
本帖最后由 dole 于 2025-6-14 02:12 编辑

原开发者Xhofe已经不在讨论群里，在价格中的技术支持已经被替换到投毒者，请注意！

https://linux.do/t/topic/714827/4

妈蛋，半个月前我拉docker，还奇怪以前用的xhofe怎么换了个alist666这么随意的名字，然后x86怎么也跑不起来，原来是镜像地址被换了。（https://t.me/zrj96/30658）

似乎确认alist被卖了，悄无声息，在开源代码里塞私货。
alist首页技术支持为贵州某公司，贵州某公司有个 https://hutool.cn/ 的项目，也是被接手的项目，网站首页技术支持挂了个oneinstack，之前lnmp和oneinstack也是被贵州某公司拿下，难道是一伙人？
我头大了，有能力的大佬可以挖挖。（https://t.me/zrj96/30659）

经典军哥剧情 MJJ注意了然后顺便提醒下极光面板有漏洞记得去更新下

作者: mha 时间: 2025-6-11 00:21
**，这家啥背景啊，妈的。

作者: Typeboom 时间: 2025-6-11 00:21
中国特色

作者: b66667777 时间: 2025-6-11 00:30
阿弥陀佛

作者: gamekid 时间: 2025-6-11 00:31
贵州那个就是某网络安全公司的壳

作者: ezezz 时间: 2025-6-11 00:42
极光面板有啥漏洞咋更新都没人维护了

作者: cpa 时间: 2025-6-11 00:43
希望大家提高警惕。。。。。。。。。。。。。。。。。。。。。。。。。。。

作者: dole 时间: 2025-6-11 00:43

ezezz 发表于 2025-6-11 00:42
极光面板有啥漏洞咋更新都没人维护了

极光面板的用户验证有重大漏洞，请立即修改docker-compose.yml的`SECREY_KEY: 'AuroraAdminPanel321'`，将值改为随机生成的密钥，密钥可以用命令`openssl rand -base64 32 | tr -d '=' | tr '+/' '-_'`或者使用随机UUID，为保证更强的安全性，你可以定期更换该key（https://t.me/aurora_admin_panel/62265）

好了，运行一下一键脚本就会自动更换了（https://t.me/aurora_admin_panel/62301）

作者: ezezz 时间: 2025-6-11 00:45

dole 发表于 2025-6-11 00:43
极光面板的用户验证有重大漏洞，请立即修改docker-compose.yml的`SECREY_KEY: 'AuroraAdminPanel321'`， ...

感谢我看看

作者: dole 时间: 2025-6-11 00:53
本帖最后由 dole 于 2025-6-11 11:12 编辑

更多图图补充

Alist文档中的下载链接被修改
目前最新版的docker也被修改过

联系不上开发者，Alist官方TG群已经闹开了

另外alist的桌面版程序也被打包出售了

某TG群的最新消息：Alist所有权疑似变动，注意代码风险
中文文档内加入了微信链接等非技术内容，官网与下载地址被更换
注：新更新的腾讯云cos链接，被腾讯云以文件非法为由封禁

不知道大家知不知道GOedge，一个开源CDN程序
也是作者超哥把项目卖掉后被新开发者投毒做跳转
怎么喜欢的程序一个接着一个投毒，唉
希望只是一场乌龙 t.me/rsakuraban/442）

作者: httpd 时间: 2025-6-11 01:17
變現成功

作者: tomcb 时间: 2025-6-11 01:22
看了下，我用的还是xhofe/alist:latest，没更新过，是从哪个版本开始投毒的啊？

作者: buste 时间: 2025-6-11 01:26
只能说以后国内的开源软件也得绕道走了，真的玩不起，存储这种东西投毒造成的伤害可太大了，真的无语

作者: Chensao 时间: 2025-6-11 01:52
还好我几个月之前用docker安装的（还是3.41.0）现在打算做个镜像（然后关闭自动更新）

作者: dole 时间: 2025-6-11 01:57

tomcb 发表于 2025-6-11 01:22
看了下，我用的还是xhofe/alist:latest，没更新过，是从哪个版本开始投毒的啊？ ...

英文原版还没变尽快留一份吧

作者: 炒土豆丝 时间: 2025-6-11 01:59
我用 Watchtower 自动更新镜像有没有风险？？？

作者: NEET姬 时间: 2025-6-11 02:00
我是用脚本直接安装的，这不会自动给我更新成带毒的吧

作者: ok1122 时间: 2025-6-11 02:32
丸辣

，静等开心版

作者: kk321520 时间: 2025-6-11 04:28
本帖最后由 kk321520 于 2025-6-11 04:49 编辑

https://china.usembassy-china.org.cn/zh/targeting-a-major-backer-of-virtual-currency-investment-scams/
https://www.ic3.gov/CSA/2025/250529.pdf
美国对一家设在菲律宾的公司Funnull Technology Inc.（又名方能CDN）及其管理者Liu Lizhi（刘理志）实施制裁，该公司为虚拟货币投资诈骗提供关键计算机基础设施，刘理志为中国公民。虚拟货币投资诈骗活动给美国民众造成了严重的经济损失。此次制裁对象与美国受害者所报告的超过2亿美元损失直接相关，每位受害者的平均损失超过15万美元。

作者: trips 时间: 2025-6-11 04:44
这不就是那个半夜跳广告的统计工具那团活的吗？

作者: xchiminer 时间: 2025-6-11 08:13

dole 发表于 2025-6-11 00:53
更多图图补充

有没有可能都是作者投毒的，卖掉只是个幌子。

作者: suichang 时间: 2025-6-11 08:16
好可怕，这开源程序也不能随便用了

作者: ceplavia 时间: 2025-6-11 08:28
把在用的镜像备份出来一份就好了，大惊小怪

作者: NetMan 时间: 2025-6-11 08:38
真吓人

作者: yrj 时间: 2025-6-11 08:41
开源作者很难坚持住为爱发电，所以卖项目也是情有可原，要怪只能怪法律的不完善。

作者: feedeve 时间: 2025-6-11 08:57

作者: encounter 时间: 2025-6-11 08:59
我看docker上不是你这个啊，命令是：docker pull xhofe/alist:latest

作者: 呆呆的游客 时间: 2025-6-11 09:02
https://www.cqtn.gov.cn/bm/qrlsbj/zwxx_25190/gsgg/202105/t20210519_9299044.html

作者: acm 时间: 2025-6-11 09:08
开源不讲源只讲元
开发者也要填饱肚子的

作者: juake 时间: 2025-6-11 09:15
可惜了啊

作者: doruison 时间: 2025-6-11 09:31

yrj 发表于 2025-6-11 08:41
开源作者很难坚持住为爱发电，所以卖项目也是情有可原，要怪只能怪法律的不完善。 ...

法律再完善了又如何，哪里不合适？？？
开源项目账号不能卖？？？不服气你自己fork
开源项目不能有广告？？？
目前来看开发者的行为在任何正常国家都找不到违法的地方。

作者: 有点儿意思 时间: 2025-6-11 09:45
贵州不够科技有限公司
地址：贵州省贵阳市观山湖区长岭街道林城路贵阳国际金融中心一期商务区项目5号楼11层24号
法人：师玉玺（名下另有贵州穹界盾构信息安全有限公司）
参保人数：4（23年年报数据）
官方微信号：bugotech
联系电话：18096054816（来源爱企查，存疑，和qq邮箱相同但确实是个贵阳归属电话）
联系邮箱：[email protected]（来源爱企查，反查到有好几个贵州的公司也是这个联系邮箱）
注册资本：50万实缴未知

另：该公司与hutool事件相关联
再另：D指导指出，在中国法律框架下移除提交权限可能涉及侵犯著作权中的修改权；移除代码署名设计侵犯著作权中的署名权。建议贡献者（尤其是有钱有闲的）可以盯着代码仓库出现上述情况直接起诉，不蒸馒头争口气，给该公司添添堵。
再再另：试图提交上传用户信息代码的alist666账号，于2024.12.07修改了readme，可以推测项目从此时就已经卖出去了，3.41.0及后续版本预编译均在该时间节点之后。即被收购前的最后一个版本是3.40.0。

作者: feixiang 时间: 2025-6-11 09:46

doruison 发表于 2025-6-11 09:31
法律再完善了又如何，哪里不合适？？？
开源项目账号不能卖？？？不服气你自己fork
开源项目不能有广告？ ...

开源软件只要有贡献者，理论上知识产权的归属不应该属于创建者1个人的吧。

作者: jackgill 时间: 2025-6-11 09:50
我用的还行。

作者: Vickers 时间: 2025-6-11 09:55
我就想知道GitHub上面最新能用的版本是哪个啊https://github.com/AlistGo/alist/releases

作者: 有点儿意思 时间: 2025-6-11 09:56

Vickers 发表于 2025-6-11 09:55
我就想知道GitHub上面最新能用的版本是哪个啊https://github.com/AlistGo/alist/releases ...

3.40.0

作者: bbsbbs 时间: 2025-6-11 10:12
哎。可惜了这么好的软件，但还是理解作者

作者: nebulabox 时间: 2025-6-11 10:12

feixiang 发表于 2025-6-11 09:46
开源软件只要有贡献者，理论上知识产权的归属不应该属于创建者1个人的吧。 ...

任何人都可以免费获取代码，所以也不存在代码被卖掉这个说法。
或者，确切说，是 github 账号被卖掉了，而不是代码被卖掉了。

作者: yrj 时间: 2025-6-11 10:29

doruison 发表于 2025-6-11 09:31
法律再完善了又如何，哪里不合适？？？
开源项目账号不能卖？？？不服气你自己fork
开源项目不能有广告？ ...

麻烦你看清楚再喷，我说了不能卖项目？我说情有可原啊！我说的法律不完善，指的是购买者违法后的惩治问题。我本身也是开源作者，真搞不清楚你为啥喷我？

作者: dole 时间: 2025-6-11 11:03

炒土豆丝发表于 2025-6-11 01:59
我用 Watchtower 自动更新镜像有没有风险？？？

有的bro 看看还没更的话就关了吧

作者: dole 时间: 2025-6-11 11:22
本帖最后由 dole 于 2025-6-19 18:23 编辑

大佬的全备份快fork
https://github.com/BlueSkyXN-Backup/alist/releases/tag/v3.40.0

作者: 宋喆 时间: 2025-6-11 11:24
先把alist更新关了，但好像没用，一直在自动拉镜像。另外它里面的服务是要用它官方的东西。完了，又少了一个良心docker

作者: 还有谁 时间: 2025-6-11 11:25
踢寡妇门，挖绝户坟，给开源投毒，纯纯的没有底线的土匪

作者: luanshij 时间: 2025-6-11 11:35
反正也不用

作者: 16qf 时间: 2025-6-11 11:41

对面给的实在是太多了啊

作者: BwGoat 时间: 2025-6-11 12:57
如果真的是被投毒了，还有什么功能类似的开源程序啊

作者: NEET姬 时间: 2025-6-11 13:08
@Xhofe 怎么说

作者: NVMe 时间: 2025-6-11 13:53
有意思：https://github.com/AlistGo/alist/issues/8657

作者: silence 时间: 2025-6-11 14:20
这个作者也是出生，这项目有好多人贡献了代码，他就这样卖了，让别人找谁说理去

作者: lamb 时间: 2025-6-11 14:32

NEET姬发表于 2025-6-11 13:08
@Xhofe 怎么说

作者居然在loc？

作者: gdtv 时间: 2025-6-11 14:47

NVMe 发表于 2025-6-11 13:53
有意思：https://github.com/AlistGo/alist/issues/8657

This issue has been deleted.

作者: NVMe 时间: 2025-6-11 14:49

gdtv 发表于 2025-6-11 14:47
This issue has been deleted.

收集用戶信息，被抓實錘，發帖人嘲笑吐槽。

作者: yephyr 时间: 2025-6-11 14:52

gdtv 发表于 2025-6-11 14:47
This issue has been deleted.

https://www.bilibili.com/video/BV1NLMEzeELG

作者: williamc2 时间: 2025-6-11 16:04

作者: 海的那一边 时间: 2025-6-11 16:08
啥情况。。确认投毒了吗？还是贵州的哪个公司有投毒历史？

作者: tombruse 时间: 2025-6-11 17:10
有前端，没有后台获取cookie的服务怎么搞

作者: NEET姬 时间: 2025-6-11 17:16

lamb 发表于 2025-6-11 14:32
作者居然在loc？

当然啊，最开始就是在loc宣传的https://443502.xyz/thread-788548-1-1.html

作者: 新世纪 时间: 2025-6-11 17:17
可惜了

作者: dole 时间: 2025-6-11 18:41
Alist 原开发者回应 (https://t.me/alist_news/85)此事：

https://t.me/appinnfeed/14226
项目已交由公司运营，之后我会帮忙审查开源版本仓库的代码，以及确保 release 的分发由 ci 自动构建，main 分支已开启分支保护，后续所有的提交都会经过 pr 审核。

（https://t.me/appinnfeed/14226?comment=69233）

作者: dole 时间: 2025-6-11 18:48
补充

作者: dole 时间: 2025-6-11 18:51

海的那一边发表于 2025-6-11 16:08
啥情况。。确认投毒了吗？还是贵州的哪个公司有投毒历史？

数据收集新版本新增你的文件名目录访问预览下载登录等log都会上传到官方统计系统方便信息安全审计

作者: poly 时间: 2025-6-11 18:57
价格合适出售了很正常

作者: aes 时间: 2025-6-11 19:05
利益面前一切都是浮云

作者: dole 时间: 2025-6-11 19:43

aes 发表于 2025-6-11 19:05
利益面前一切都是浮云

开割 MJJ默默受伤

作者: Dingzhen 时间: 2025-6-11 19:54
瑟瑟发抖。。。

作者: Dingzhen 时间: 2025-6-11 20:28
之前接口的token，也不能用了吗？还是自动转到新接口，不安全了。

作者: mirentu 时间: 2025-6-11 20:45
我已经换成cloudreve了

作者: terryxu 时间: 2025-6-11 21:06
其实之前的版本,带外部连接阿里的静态资源,技术上也是能够追踪用户信息https://g.alicdn.com/IMM/office-js/1.1.5/aliyun-web-office-sdk.min.js

作者: Quantumult 时间: 2025-6-11 23:51

dole 发表于 2025-6-11 18:41
Alist 原开发者回应 (https://t.me/alist_news/85)此事：

https://t.me/appinnfeed/14226

这也是陈睿的信徒

作者: Keensword 时间: 2025-6-12 14:54
贵州这公司背后是谁, 360?

作者: dole 时间: 2025-6-12 15:55
收购目的推测补充：

作者: dole 时间: 2025-6-12 15:58
123盘发公告：停止支持

作者: 昨晚上梦见你了 时间: 2025-6-12 16:15
这样搞他们能赚钱吗？还是为了别的？

作者: fengyaochen 时间: 2025-6-12 16:17

昨晚上梦见你了发表于 2025-6-12 16:15
这样搞他们能赚钱吗？还是为了别的？

所有行业的尽头都是诈骗

作者: aazobie 时间: 2025-6-12 16:23
本帖最后由 aazobie 于 2025-6-12 19:22 编辑

~~现在几个替代项目都没原活跃开发者的实际参与，最逆天的还得是ns那个fork，看看openlist之后怎么样~~

作者: atusu 时间: 2025-6-12 16:28

mirentu 发表于 2025-6-11 20:45
我已经换成cloudreve了

在用这个上个月被当地公安局问候了，登记用途什么的，说是有一份名单搭建这个都需要核实用途什么的，感觉是有人拿这个拿干了什么

作者: cssx 时间: 2025-6-12 17:14
卖了没问题，你不能指望他一直为爱发电，但是你卖了不立马出公告通知使用者，而是被其他人发现了才出来发公告通知。你要是卖了立马发公告通知我也不会使用了，现在我早就更新到最新版了，你昨天才出来发公告卖了，艹

作者: rqp 时间: 2025-6-12 17:27

作者: 268296 时间: 2025-6-12 17:40
直接开盒了

https://cn.anotepad.com/notes/ek8hd7gf

作者: x2ve 时间: 2025-6-12 17:47

lamb 发表于 2025-6-11 14:32
作者居然在loc？

是的，好多年之前看到过推广alist；另外不知道是不是我记忆错乱了论坛有位作者进去过，出来也开源了一个应用，但是不记得叫什么名字了，其实很多跟服务器网络相关的都来这坛子里推广过

作者: dole 时间: 2025-6-12 18:47

atusu 发表于 2025-6-12 16:28
在用这个上个月被当地公安局问候了，登记用途什么的，说是有一份名单搭建这个都需要核实用途什么的，感觉 ...

不要开公网用就行扫到就上报了就和搭建发卡一样默认按诈骗算

作者: dole 时间: 2025-6-14 02:13
各个网盘如何取消Alist授权（https://forum.naixi.net/thread-4387-1-1.html）
115网盘取消授权：https://115.com/?mode=device_manage
阿里云盘取消授权：设置–>隐私设置—>授权管理
百度云盘取消授权：个人中心-账户管理-授权管理-alist https://passport.baidu.com/accountbind)
onedrive个人版：https://account.live.com/consent/Manage
联通云盘取消授权： - 在网页查询登录账号 - 以后建议按照教程抓包登录
dropbox取消授权：https://www.dropbox.com/account/connected_apps找到alist授权点Disconnect
onedrive E5取消授权：https://entra.microsoft.com/#view/Microsoft_AAD_RegisteredApps/ApplicationsListBlade/quickStartType~/null/sourceType/Microsoft_AAD_IAM?Microsoft_AAD_IAM_legacyAADRedirect=true
点击所有应用程序，删除所有alist相关程序即可

坚果云解绑：左上角三横杠 - 设置 - 第三方应用管理 - 撤销授权
一、撤回 OAuth 授权访问权限（用户授权部分）
Google 撤销已授权的应用
打开授权管理页面：https://myaccount.google.com/permissions
找到你要撤销的应用（例如你自己开发的 OAuth 应用或第三方应用）
点击应用 → 点击 “移除访问权限”
Microsoft 撤销已授权的应用
打开授权管理页面：登录你的 Microsoft 帐户
找到你要撤销权限的应用
点击 “编辑” 或 “移除这些权限” 即可
二、撤回 API 客户端 ID 和密钥（开发者后台）
Google Cloud Console
打开 Google Cloud 控制台：https://console.cloud.google.com/apis/credentials
找到你创建的 OAuth 2.0 客户端 ID 和密钥
点击删除图标（垃圾桶）或选择“禁用”按钮来撤销
如需彻底作废密钥，建议直接点击删除。

作者: ddane 时间: 2025-6-14 04:16

dole 发表于 2025-6-14 02:13
各个网盘如何取消Alist授权（https://forum.naixi.net/thread-4387-1-1.html）
115网盘取消授权：https://1 ...

作者: 随波逐流 时间: 2025-6-14 10:30

dole 发表于 2025-6-11 11:22
SKY大佬的全备份
https://github.com/BlueSkyXN-Backup/alist/releases/tag/v3.40.0

最后一个不投毒的版本吗，好像绑定网盘需要他们的那个网址

作者: Dingzhen 时间: 2025-6-16 10:34

dole 发表于 2025-6-11 01:57
英文原版还没变尽快留一份吧

英文版在哪呢？

作者: Dingzhen 时间: 2025-6-17 15:34

dole 发表于 2025-6-11 01:57
英文原版还没变尽快留一份吧

英文版在哪找？

欢迎光临全球主机交流论坛 (https://443502.xyz/)