这是一个创建于 726 天前的主题,其中的信息可能已经有所发展或是发生改变。
硬盘一阵狂响,WPS for linux 后门服务启动了!
 |
1
alanying 2022-11-08 00:22:04 +08:00  2
这种有些时候也会魔怔。
现在我都不太敢安装不开源的软件,除非真的大厂被广泛应用的软件绕不开 |
 |
2
723X 2022-11-08 00:33:22 +08:00 via Android 6
我靠,这进程名太嚣张了
不过我想起来我那虚拟机名字起的是 go-fuck-yourself |
 |
3
docx 2022-11-08 00:35:42 +08:00 via iPhone 3
名字很实诚😂
|
 |
4
ltkun 2022-11-08 00:38:15 +08:00 via Android
还有啥能兼容 office 的除了 wps
|
 |
7
CEBBCAT 2022-11-08 01:09:32 +08:00 1
|
 |
8
microxiaoxiao 2022-11-08 01:31:20 +08:00 via Android 14
楼主这样很不好,看到后台进程都算后门嘛?除非你能说明白它到底干了啥坏事,别误导用户。wps 也是有很多付费用户的。
|
 |
9
xyz8899 2022-11-08 07:53:55 +08:00 21
#8 不要为 WPS 洗地了,之前爆出来的含敏感词的文档被 WPS 远程删除的事还没过多久吧!这就是你要的事实吗!
|
|
11
xyz8899 2022-11-08 08:11:33 +08:00 60
@sorcerer 小偷偷了你 100 元钱,给警察交了 50 元保护费,给社区捐了 20 元做公益,但是他还是小偷,还是助纣为虐的小偷!
Linux 的生态不需要这种小偷来贡献! 这种小偷是为了偷更多的东西才做贡献的! 开源的做贡献的人很多,为啥别人可以无私地做贡献,你却要助纣为虐地去偷东西! |
 |
12
hhacker 2022-11-08 08:22:11 +08:00 6
WPS 一生黑, 并不是它文档功能做得不好, 而是各种流氓小动作太多了, 如果非要用,建议用 DOS 版的
|
 |
13
StephenHe 2022-11-08 08:24:20 +08:00 2
腾讯文档吧,在浏览器用用。wps 内含一个看图片的插件,这个插件真他妈卡
|
 |
14
shakoon 2022-11-08 08:42:36 +08:00 1
wps 有一个文档雷达功能,就是扫描全盘的 office 文件,让用户能快速找到和打开。对小白用户似乎挺好的,但是这玩意是安装后默认就运行,而且关闭的选项很隐蔽,这就属于不道德的行为了,和浏览器流氓插件没有区别。
ps ,我 wps 超级会员已充值到 2028 年,但是 wps 有些地方真的是用一次骂一次 |
 |
15
chutsetien 2022-11-08 08:46:35 +08:00
可以试试 Softmaker Office, 全平台,和 MSO 很像且「还原度」高(比如它的 Excel 函数是最多的),买断或者订阅都可以,价格也不贵。
|
 |
16
RRyo 2022-11-08 08:53:35 +08:00
公司没采购 office,但是我又不行食 wps 的奥利给,所以我选择 libreoffice😇
|
 |
19
sorcerer 2022-11-08 09:01:31 +08:00 via iPhone
@xyz8899 别激动,打这么多感叹号干嘛 :D ,在网上,你支持你的,我支持我的,谁也说服不了谁。
|
 |
21
youisme 2022-11-08 09:03:29 +08:00
看起来是个索引进程
|
|
22
CEBBCAT 2022-11-08 09:04:00 +08:00 via iPhone 6
@xyz8899 要曝光就拿实锤打金山的脸。拿一个句柄占用的图说明不了什么。别人只是辩解两句就叫洗地了?那我这样不得是收黑钱?没人教你有话好好讲的?
|
 |
23
ragnaroks 2022-11-08 09:06:30 +08:00
可以试下 ONLYOffice
|
 |
24
olaloong 2022-11-08 09:06:59 +08:00 via Android
@xyz8899 什么时候谣言变成远程删除了?是删除上传到云空间里的文档吧,类似百度网盘。用户本地文档谁敢删啊
|
 |
25
zololiu 2022-11-08 09:11:05 +08:00 2
就没人吐槽一下恶心的 WPS 的全家桶吗?安装个文档软件,看图工具,盘符位置,弹窗广告,右键占用,无处不在。
|
 |
26
Radom 2022-11-08 09:18:37 +08:00
太可怕了
|
 |
28
Garalt 2022-11-08 09:23:40 +08:00 3
这是否有点魔怔了,wps 开发个软件有个后台进程,就被说成小偷了?
|
 |
30
zhchyu999 2022-11-08 09:32:02 +08:00 15
都魔怔了,带着有色眼镜看问题,判断全靠猜
|
 |
32
dcsite 2022-11-08 09:36:06 +08:00 1
WPS 好,WPS 妙,用 WPS 的用户呱呱叫
|
 |
33
minami 2022-11-08 09:39:29 +08:00 8
@olaloong #24 你也说错了,是把远程和本地的都锁定了,用户无法用 wps 打开,用 office 可以打开。删文件从一开始就是公众号传谣,原事主一直说的是打不开,而且云空间也是会员自动上传的,事主并未主动分享
|
 |
36
lakehylia 2022-11-08 10:00:22 +08:00
windows office 解君愁
|
 |
37
yyyb 2022-11-08 10:01:29 +08:00 1
金山出品必属流氓
|
 |
38
maichaide OP 10
 从微步云沙箱分析看,访问了共享库,通过共享库可以随时拿到 root 权限,运行任意代码 |
 |
40
twor2 2022-11-08 10:04:59 +08:00
v2 被害妄想症
不过这也是一个阶段,都是以前的报应,也算公平吧 |
 |
41
kokutou 2022-11-08 10:07:28 +08:00 via Android
这个 everything 就是那个搜索文件的 everything ,
我不知道一个 office 软件为啥要自带一个可以全盘搜索文件的软件。 |
|
42
maichaide OP @maichaide 交流得平心静气,有理有据,不要打无意义的口水仗,这个进程中隐藏了不少函数调用,目前能看到的有 strcmp 函数和 socket 相关函数,可能存在查找比对行为,但没有发现网络通信,或许需要特定条件,只能静态分析逆向看看了
|
 |
43
LaGeNanRen 2022-11-08 10:14:22 +08:00
老电脑用户都懂,kingsoft ? yes !
|
 |
44
clrss 2022-11-08 10:26:18 +08:00
Jobs: 幸亏我要求强制 Sandbox
|
 |
45
ospider 2022-11-08 10:28:34 +08:00
@StephenHe 第一次尝试用腾讯文档的表格,连排序都错了……感觉 office 这些东西看似简单,也还是需要写行业经验积累的。
|
 |
46
lookStupiToForce 2022-11-08 10:44:04 +08:00 2
国产软件因为有几个大流氓混得那叫一个风生水起,所以小流氓也无所顾忌,确实只配活在沙箱 /虚拟机
况且还有一个黑帮老大虎视眈眈地盯着底下的流氓让按时上供和提供后门,真没啥理由放他们出来 |
 |
47
xiaoyao9933 2022-11-08 11:16:13 +08:00 1
有个后台进程还好啊,不喜欢可以关掉嘛
|
 |
48
terence4444 2022-11-08 11:32:51 +08:00 via iPhone
@sorcerer WPS 流氓并不是秘密,有个东西叫“前科”。
|
 |
49
stkstkss 2022-11-08 11:38:03 +08:00 via iPhone
有哪个可以替代 wps 的? op 主
|
 |
51
shuxhan 2022-11-08 12:13:20 +08:00
目前只在公司用 wps ,自己电脑订阅了 office
|
 |
52
lzyliangzheyu 2022-11-08 12:23:58 +08:00
我主观认为跟雷军有关系的事物或多或少在道德品质上是有问题的。(不涉及技术能力、质量的评判)
|
|
53
lzyliangzheyu 2022-11-08 12:30:24 +08:00
@stkstkss 搜索引擎 office 365 developer E5 licence ,我从 18 年免费用到至今了
|
 |
54
lbm008 2022-11-08 12:33:20 +08:00
我最近正犹豫要不要试试 Qubes
|
 |
55
ysc3839 2022-11-08 12:34:12 +08:00 via Android 1
本质是信任问题,这个没法说服对方的。
@maichaide #38 这图看不出怎么能拿到 root 权限。 不过如果安装软件时使用的是系统包管理,那这个时候软件就能拿到并保留 root 权限。而且传统桌面 Linux 和 Windows 类似,都没有应用级的权限管理,用户能做的事程序都能做,包括但不限于录音、录像、录屏、访问用户能访问的所有文件等。 |
 |
56
citydog 2022-11-08 12:37:11 +08:00
额... 付费用了五年多了,很好用啊...
|
 |
57
summer2019 2022-11-08 12:37:37 +08:00 via iPhone 1
|
 |
59
wxf666 2022-11-08 12:48:20 +08:00 12
楼上的建议远离 Chrome 吗?
这货时不时有个 software_reporter_tool 扫硬盘也很吃资源,风扇呼呼响,而且没有提供选项关掉 |
 |
61
billlee 2022-11-08 12:55:48 +08:00 via Android 1
不止是国产软件,linux 下应该闭源软件都进沙盒。
|
 |
62
abuabu 2022-11-08 13:26:07 +08:00
远离,但是在用。没人吐槽楼主标题吗?
大家应该不使用所有国产软件,自己电脑里不能出现任何中文字符 |
 |
63
whywaoxaks 2022-11-08 13:36:51 +08:00
你发错地方了,我不相信 真・v2exer 还有用国产软件的。
|
 |
64
davelm 2022-11-08 13:36:53 +08:00
所有国产软件我都装在 vmware 中,用 Unity 模式,使用体验没啥区别
|
 |
65
weizhen199 2022-11-08 13:46:56 +08:00 1
@wxf666 鬼佬看 google 和我们看 QQ 的态度是差不多的
|
 |
66
kwh 2022-11-08 13:55:38 +08:00
wps 本身就有问题,2019 年的时候,wps 用了一段时间,百分之百的卡顿,任务管理器一看 wps cpu 飙升。最后记不清了,好像还卡死电脑了???
然后我就用了 office 了。。。 |
 |
67
hahawode 2022-11-08 13:58:26 +08:00
“硬盘一阵狂响,WPS for linux 后门服务启动了!”
好好笑 哈哈哈 |
 |
68
majula 2022-11-08 14:12:45 +08:00
@billlee #61
开源软件也应该视情况进沙箱 /虚拟机,或者物理隔离。 因为就算是很牛逼的程序员兼安全工程师,也很难有能力或者说精力审计其运行的每一行代码。这时即使开发者没有恶意投毒,也(很)可能有安全漏洞被恶意利用 我现在是只有知名开源软件的稳定版本裸奔在我的 PC 上,有机会接触到相对私密的数据。其他程序一律虚拟机,并且只会喂给脱敏后的数据 对于非常私密的数据,我有一台从未与互联网直接或者间接(比如通过硬盘传递数据)接触的 PC 来处理。 |
 |
69
tool2d 2022-11-08 14:16:42 +08:00
everything 这名字一看,就知道是磁盘 NTFS 搜索服务,楼主少见多怪了。
而且一个服务会自己提权 ROOT ?不太可能的好吧。 |
 |
71
BJL 2022-11-08 14:46:22 +08:00
幸好我是 mac,mac 的 wps 没有广告
|
 |
72
ndxxx 2022-11-08 14:54:25 +08:00
Linux 上的 WPS 也分 wps-office 和 wps-office-cn 两个主包,前者是洋大人特供版,似乎没有这个文件。
|
 |
73
wfd0807 2022-11-08 15:22:50 +08:00 1
❯ pacman -Qs wps
local/ttf-wps-fonts 1.0-5 Symbol fonts required by wps-office. local/wps-office 11.1.0.11664-2 Kingsoft Office (WPS Office) - an office productivity suite local/wps-office-fonts 1.0-2 The wps-office-fonts package contains Founder Chinese fonts ❯ ❯ find /usr/lib/office6 -name "*Daemon*" /usr/lib/office6/EverythingDaemon @ndxxx archlinux 特供版也存在这个文件 |
|
74
ndxxx 2022-11-08 15:46:35 +08:00 10
@wfd0807 是的,看来以后要小心了。我最近还在想为啥 Linux 版的 wps 最近的一年更新变勤快了呢,现在思路清晰了,以后国产的 UOS 发展铺开了,wps 必然是一块重要的拼图。以史为鉴:
 |
 |
75
hirenloongdddd 2022-11-08 15:51:30 +08:00
在线文档能解决 99% 的问题,工作基本都是腾讯文档了
|
 |
76
JohnSmith 2022-11-08 15:58:09 +08:00
wps 删文档的事情历历在目
|
 |
78
Kinnice 2022-11-08 16:01:52 +08:00
✅ 有罪推定
❎ 找出证据 |
 |
79
Andreas8 2022-11-08 16:15:21 +08:00
还是 45 上车 office 家庭组吧,Linux 上可以利用 edge 跑网页版,体验还不错
|
 |
80
likunyan 2022-11-08 16:17:21 +08:00
v2exer 自己写一个吧
|
 |
82
jworg 2022-11-08 16:26:57 +08:00
@kokutou 你确定吗,windows 上那个 everything 是基于 ntfs 实现的,linux 上你找个主分区用 ntfs 的来再来说这话。不要名字相似就说是一个东西。
|
|
83
jworg 2022-11-08 16:28:31 +08:00 3
楼里认为这个 everything 是 windows 上那个的还不止一个,v2 现在水平都这样子吗。
|
 |
84
treizeor 2022-11-08 16:37:37 +08:00
为什么会有人认为实现一样的功能就要基于同样的文件系统
|
 |
85
aloxaf 2022-11-08 16:40:44 +08:00 8
这种帖子吵不出结果的,因为
有的网友是想调查事实的:这个进程究竟是啥,它具体干了什么,它能不能称之为后门 有的网友纯粹是来输出情绪的:WPS 是个辣鸡公司,所以这一定是后门,如果没有查不出来,说明是隐藏得很深的后门 |
 |
86
yinzhili 2022-11-08 16:47:01 +08:00 2
在这个网站上,国产是原罪
|
 |
87
si 2022-11-08 16:57:25 +08:00
建议删除软件,继续使用软件相当于扩大软件使用群体,增加软件的市场占有率,属于为虎作伥行为。
宣传如何如何在沙箱下使用,在性质上近似于金山的免费水军。🤣 |
 |
88
XiaoJSoft 2022-11-08 17:09:57 +08:00 3
刚刚试着逆了一下,样本是 Arm64 版本的 wps-office_11.1.0.11664_arm64.deb
里面涉及的网络通信部分是 QLocalSocket ,看程序逻辑是做本地进程间通信用 其余的部分基本就是一堆土味进程监控 有一部分还没大看明白,这个进程也会访问 ~/.local/share/Kingsoft/Ksearch/ 这个目录里面的一些东西,具体逻辑暂时不明,不过看起来并不像是用来乱搞的东西 |
 |
89
yohole 2022-11-08 17:28:53 +08:00 2
本来议事论事就好,偏要起这种带节奏的地图炮标题,点进来甚至实锤都没看到,这还叫别人正常交流,这不多不少有点那个
|
 |
91
learningman 2022-11-08 17:44:14 +08:00 6
楼主给哥们整笑了
“访问了共享库,通过共享库可以随时拿到 root 权限,运行任意代码” 动态链接的程序原来就算病毒了,这下到处都是病毒了。dynamic link 下就能拿 root 权限了,DARPA 都得请您出山。 楼里一些什么都不会的小白搞阴谋论也是真的好笑,strcmp 符号都要批判下?你们这么怕监控,电脑上能不能常备 IDA 啊。 |
 |
92
chrawsl 2022-11-08 17:48:22 +08:00 4
v2 特有的被害妄想症
|
|
93
microxiaoxiao 2022-11-08 17:51:12 +08:00
op 张嘴就来呀,随便贴个图,链接一个动态库就获取 root 权限了,怎么得到这个结论的?乱带节奏就太过分。
|
 |
94
bao3 2022-11-08 17:59:28 +08:00
WPS 是作过恶的,并且它不是只删除云端文件,而是连同本地端也给删除了。作恶却不受制裁,并不是文明社会追求的价值观。所以对它一切的行为保持批判是没有问题的。
除非,你让它受到就有的制裁。你确定它悔过了。 |
 |
95
wslzy007 2022-11-08 18:03:32 +08:00 1
|
 |
96
webcape233 2022-11-08 18:04:49 +08:00 via iPhone
还是拿出实证再说比较好
|
 |
97
WOLFRAZOR 2022-11-08 18:46:14 +08:00 via Android
12 楼提到 DOS 版。
好吧,我还是去用 Microsoft office 算了。(用过 DOS 版 WPS 和盘古) 我周边人大多数依赖微软五件套(没法用 libreoffice ),我自己又不是很能忍受 Microsoft office 的占用空间,只得 WPS 。 |
|
98
WOLFRAZOR 2022-11-08 18:47:37 +08:00 via Android
14 楼提到了那个,嗯。可以这么说:欺负不懂 IT 行业的人。
|
 |
99
xrr2016 2022-11-08 18:50:08 +08:00
来点事实证据吧,目前看水平太低了
|
|
100
maichaide OP @XiaoJSoft 我逆了下,还有两个被混淆的 connect ,还有一个 flag ,根据这个 flag 来决定下一步行为,另外有 send ,那个 ld.so.conf 本身是个敏感点,不少木马和挖矿的都选择从这里下手,参考: https://book.hacktricks.xyz/linux-hardening/privilege-escalation/ld.so.conf-example https://www.freebuf.com/column/162604.html
|
Select Language