全球主机交流论坛

标题: 投毒!Staticfile静态文件被联BAN [打印本页]

作者: dole 时间: 2024-7-11 01:17
标题: 投毒!Staticfile静态文件被联BAN
我说我的1ip静态博客怎么被ublock拦了，原来MJJ早有预料卖给51.la就开始投毒

https://loc.888543.xyz/forum.php?mod=viewthread&tid=1256271

国人第三方这些几把玩意量上来了和lnmp一样反手买了拿钱美滋滋

:@
相关

https://www.nodeseek.com/post-131589-1
https://www.v2ex.com/t/1056249
https://v2ex.com/t/1053497
https://github.com/lisonge/vite-plugin-monkey/issues/171
https://github.com/staticfile/static/issues/700
https://www.guozaoke.com/t/110912

复制代码

作者: tomcb 时间: 2024-7-11 02:25
早段时间就发现了，哪吒打不开，一看被列入uBlock filters – Badware risks

作者: Ducker69 时间: 2024-7-11 02:29
供应链攻击？

作者: ieckr 时间: 2024-7-11 02:39
6.20号我发现这个问题了极个别客户说网站加载不出来，检查是引用了Staticfile的jQuery导致的，更换了360的完美解决了。

作者: Right 时间: 2024-7-11 07:31
更换哪家cdn啊，我临时白名单了

作者: 墨迹 时间: 2024-7-11 07:42
早几天就被加入adware filter屏蔽列表了，一开始我还觉得奇怪，顶多不维护了，怎么还成恶意网址了，原来如此。

作者: dole 时间: 2024-7-17 19:17
原博主在 V2EX 发声, 表示其被威胁删帖: https://www.v2ex.com/t/1057993

https://www.nodeseek.com/post-134320-1

作者: 她说吞过他的它 时间: 2024-7-17 19:27
帮顶

作者: poe 时间: 2024-7-17 20:17

Right 发表于 2024-7-11 07:31
更换哪家cdn啊，我临时白名单了

中国大陆可以使用字节的 https://cdn.bytedance.com/ ，海外可以考虑cdnjs或者jsdelivr

作者: dole 时间: 2024-7-17 20:19

poe 发表于 2024-7-17 20:17
中国大陆可以使用字节的 https://cdn.bytedance.com/ ，海外可以考虑cdnjs或者jsdelivr ...

已用美滋滋

CDN还能自选厂家
底层CDN来自阿里CDN（服务大陆的alikulun），金山CDN，白山CDN，华为CDN
阿里kulun : https://lf3-cdn-tos.bytecdntp.com/...
金山CDN : https://lf6-cdn-tos.bytecdntp.com/...
白山云CDN : https://lf9-cdn-tos.bytecdntp.com/...
华为云CDN : https://lf26-cdn-tos.bytecdntp.com/...

作者: zeb 时间: 2024-7-17 20:26
国内的互联网环境确实一言难尽

作者: 御坂 时间: 2024-7-17 20:37

ieckr 发表于 2024-7-11 02:39
6.20号我发现这个问题了极个别客户说网站加载不出来，检查是引用了Staticfile的jQuery导致的，更换了360的 ...

360的也停止维护了，负责人离职了
尽快切换到cdnjs吧

作者: icon 时间: 2024-7-17 20:45
还好，没用它

root@xxx:/# grep -r 'staticfile'
root@xxx:/#

作者: ieckr 时间: 2024-7-17 21:29
本帖最后由 ieckr 于 2024-7-17 21:32 编辑

御坂发表于 2024-7-17 20:37
360的也停止维护了，负责人离职了
尽快切换到cdnjs吧

已经切到字节的了。随便选个大厂用，从上个月十多号开始客户反应打不开，当初认为是极个别情况，后面多个客户反应才重视检查后发现这个问题

作者: jhsyue 时间: 2024-7-17 21:42

dole 发表于 2024-7-17 20:19
已用美滋滋 CDN还能自选厂家
底层CDN来自阿里CDN（服务大陆的alikulun），金山CDN，白山CDN，华为C ...

美滋滋 CDN 是啥？

作者: poe 时间: 2024-7-17 22:21

dole 发表于 2024-7-17 20:19
已用美滋滋 CDN还能自选厂家
底层CDN来自阿里CDN（服务大陆的alikulun），金山CDN，白山CDN，华为C ...

对的，哈哈，字节不差钱

作者: bronco 时间: 2024-7-17 22:58
关注

作者: Perfwiki 时间: 2024-7-17 23:05
提示: 作者被禁止或删除内容自动屏蔽

作者: huifukejian 时间: 2024-7-17 23:10
js这么点流量放到自己网站上不好吗

作者: 你好，再见 时间: 2024-7-17 23:28
还有bootcdn跟着一起烂，赶紧换了吧
https://www.52pojie.cn/thread-1944970-1-1.html

作者: mfch666 时间: 2024-7-17 23:36
问题是投毒了。jc不是可以直接查水表了么？

作者: wps 时间: 2024-7-18 08:26
这文章能转载吗？

作者: 921 时间: 2024-7-18 08:36
静态文件都做了SHA-384校验，压根不怕。另外因为奇舞360首页打不开了，以前用的都换别家去了，没用过的也没办法用了，然后我自己找路径改，静态资源速度更快了hhh

作者: iamfly 时间: 2024-7-18 09:30
看来后面只能用字节的了

作者: mj4473970839 时间: 2024-7-18 10:31

921 发表于 2024-7-18 08:36
静态文件都做了SHA-384校验，压根不怕。另外因为奇舞360首页打不开了，以前用的都换别家去了，没用过的也没 ...

态文件都做了SHA-384校验
------------------------------
你是说用前端js做校验么？比较好奇是怎么做的。还有一个疑问：即使是做了校验，他也可以在js文件里面再套一个url地址，然后跳转啊。

作者: 921 时间: 2024-7-18 11:07

mj4473970839 发表于 2024-7-18 10:31
态文件都做了SHA-384校验
------------------------------
你是说用前端js做校验么？比较好奇是怎么做的 ...

就是在程序调用静态文件例如js或者css的时候，写死一个校验值（sri），目前用SHA-384强度就足够了，不放心可以上到512。然后每次浏览器加载这个静态文件的时候，都会计算加载的这个静态文件的校验值，是否和你写死的校验值相同，如果不同就不会加载了。

对于后一个疑问，在一开始写校验值的时候，那个文件肯定是正常的昂，后期他们动歪脑筋改文件以后就会校验失败。除非他们在一开始就套好了url地址，准备日后可以跳转，否则通不过校验的。

作者: mj4473970839 时间: 2024-7-18 15:24

921 发表于 2024-7-18 11:07
就是在程序调用静态文件例如js或者css的时候，写死一个校验值（sri），目前用SHA-384强度就足够了，不放 ...

每次浏览器加载这个静态文件的时候，都会计算加载的这个静态文件的校验值
---------------------------------------
我的疑问就在这里：怎么让浏览器计算这个静态文件的校验值，然后比对？是不是用js来实现？有什么现成的库可以直接调用实现么？

作者: 921 时间: 2024-7-18 16:27

mj4473970839 发表于 2024-7-18 15:24
每次浏览器加载这个静态文件的时候，都会计算加载的这个静态文件的校验值
----------------------------- ...

就是我括号里的 sri，你百度搜搜应该就有教程了，很简单加一点点代码就行了

作者: hxuf 时间: 2024-8-17 15:41

wps 发表于 2024-7-18 08:26
这文章能转载吗？

转载会被51la打。还会发邮件威胁。

作者: atusu 时间: 2024-8-17 15:54
都是紫田狗这种垃圾在搞真

以下就是这些**养的公司

郑州紫田网络科技有限公司
商中在线科技股份有限公司
河南亿恩科技股份有限公司
南京妙彩文化传播有限公司
河南图网信息技术有限公司
河南云打包网络科技有限公司
北京新网互联软件服务有限公司
郑州帝恩爱斯网络科技有限公司

作者: 气味 时间: 2024-8-17 16:01
Staticfile 也被卖了啊

作者: 皮卡丘 时间: 2024-8-17 16:16
挂51.la 上谷歌广告都上不了

欢迎光临全球主机交流论坛 (https://loc.888543.xyz/)