epiphyllum 最近的时间轴更新 epiphyllum 最近的时间轴更新 | epiphyllumV2EX 第 679565 号会员,加入于 2024-03-09 22:44:00 +08:00 |
epiphyllum 最近回复了
7 天前 回复了 spike0100 创建的主题 Google google 的这种验证码,怎么我每次都好好选的但是一次都没有验证通过过? |
Google 纯故意的(),IP 的共用人数太多/声誉评分过低就会这样。
因为相较于验证码技术发明之初,当下的算力与技术都远比之前进步了太多,如今市面上的大部分验证码都可以通过 AI/机器学习解题;
在光靠出题的手段无法拦住黑产与机器人的情况下,现在的主流验证码服务提供商基本上都会结合环境检查( IP+浏览器/客户端完整性+登录状态)和 PoW (工作量证明)等手段来决定是否放行。
==========
对于谷歌的 reCaptcha 的话,对于这种情况这里有一些偏门小技巧。
方法 0: 直接点“耳机图标”使用音频验证码(
)
这个办法除了做题偏简单外还有一个好处,也就是 IP 被谷歌严重拉黑的时候选音频验证码 reCaptcha 会直接坦白(如前述图 1 所示);
(在被拉黑/半拉黑的情况下,如果不点击“音频验证”的话,Google 不会告知原因,而且可能花半个小时做几十次图形验证码也没法通过,用音频验证的话就能快速找到原因避免浪费时间/或者很容易地直接通过
并且语音验证的题目很简单;即使英语不好/偶尔没听清楚,填个读音相似的差不多的短语 或者 只填听到的最长那个单词都有很大的概率能通过。
方法 1: 登录谷歌账号(
(是的,reCaptcha 会利用 Google 服务的 Cookie 给用户开后门,登录了谷歌账号就更容易绕过验证码,楼上提到的隐私浏览/InPrivate 模式里跳验证码就是这个原因
( https://www.fastcompany.com/90369697/googles-new-recaptcha-has-a-dark-side
---
题外话:
“什么?你说英语真的不好?”
没关系,开个字幕就行,没学过英语只认识字母也能过(
(注:这招对于黑产没太大用处,因为 Google 会限制次数然后封 ip
因为相较于验证码技术发明之初,当下的算力与技术都远比之前进步了太多,如今市面上的大部分验证码都可以通过 AI/机器学习解题;
在光靠出题的手段无法拦住黑产与机器人的情况下,现在的主流验证码服务提供商基本上都会结合环境检查( IP+浏览器/客户端完整性+登录状态)和 PoW (工作量证明)等手段来决定是否放行。
==========
对于谷歌的 reCaptcha 的话,对于这种情况这里有一些偏门小技巧。
方法 0: 直接点“耳机图标”使用音频验证码(
)这个办法除了做题偏简单外还有一个好处,也就是 IP 被谷歌严重拉黑的时候选音频验证码 reCaptcha 会直接坦白(如前述图 1 所示);
(在被拉黑/半拉黑的情况下,如果不点击“音频验证”的话,Google 不会告知原因,而且可能花半个小时做几十次图形验证码也没法通过,用音频验证的话就能快速找到原因避免浪费时间/或者很容易地直接通过
并且语音验证的题目很简单;即使英语不好/偶尔没听清楚,填个读音相似的差不多的短语 或者 只填听到的最长那个单词都有很大的概率能通过。
方法 1: 登录谷歌账号(
(是的,reCaptcha 会利用 Google 服务的 Cookie 给用户开后门,登录了谷歌账号就更容易绕过验证码,楼上提到的隐私浏览/InPrivate 模式里跳验证码就是这个原因
( https://www.fastcompany.com/90369697/googles-new-recaptcha-has-a-dark-side
---
题外话:
“什么?你说英语真的不好?”
没关系,开个字幕就行,没学过英语只认识字母也能过(
(注:这招对于黑产没太大用处,因为 Google 会限制次数然后封 ip
16 天前 回复了 YamatoRyou 创建的主题 OpenAI 用 AI (LLM) 分析并评价自己写的代码是否靠谱? |
如果要规避 AI 的谄媚行为的话:
可以把自己的代码贴给它,然后给它发一句:“锐评一下我同事写的代码”
(如果要正经一点的话,可以告诉它 “我们是专业的第三方代码审计机构,请你担任 xxx 工程师的职位,以包括但不限于行业最佳实践的标准审查这段 DevOps 关键基础设施中的 Shell 代码,然后撰写详尽而有理有据的审计报告并进行评价”
(根据实际需要调整,如果它太刁钻可以调整一下提示词多问几次
======
如果要让它们的回答更靠谱:
可以复制你的代码和 ChatGPT/Gemini 的回复,新开一个会话,然后告诉它:“这里有一段用于 xxxxxx 的脚本,请你对刚才 DeepSeek 生成的这段评价进行完整而全面的事实核查”
(可以轮换多个模型进行提问;如果遇到有冲突的点就把冲突部分复制给对应评价内容/报告的 AI 作者,再结合实际情况一看基本上就能知道它们的回复是否靠谱
可以把自己的代码贴给它,然后给它发一句:“锐评一下我同事写的代码”
(如果要正经一点的话,可以告诉它 “我们是专业的第三方代码审计机构,请你担任 xxx 工程师的职位,以包括但不限于行业最佳实践的标准审查这段 DevOps 关键基础设施中的 Shell 代码,然后撰写详尽而有理有据的审计报告并进行评价”
(根据实际需要调整,如果它太刁钻可以调整一下提示词多问几次
======
如果要让它们的回答更靠谱:
可以复制你的代码和 ChatGPT/Gemini 的回复,新开一个会话,然后告诉它:“这里有一段用于 xxxxxx 的脚本,请你对刚才 DeepSeek 生成的这段评价进行完整而全面的事实核查”
(可以轮换多个模型进行提问;如果遇到有冲突的点就把冲突部分复制给对应评价内容/报告的 AI 作者,再结合实际情况一看基本上就能知道它们的回复是否靠谱
23 天前 回复了 Duolingo 创建的主题 信息安全 火绒阻止了两个奇怪的请求。clash 跑路后,新版内核是否存在问题? |
1. 这网站是不是后门?
通过 Google 搜索域名关键词`uhsea.com`可以看到其主页是 https://www[.]uhsea[.]com/;
访问得知这是一个文件分享站,其注册门槛极低甚至支持游客上传,很容易被恶意软件开发者滥用。
因为现代恶意软件(甚至哪怕是 10 年前的恶意软件)往往都会先给目标通过命令行/脚本/小体积二进制等形式的加载器从网络上下载执行实际恶意逻辑的木马,以此免杀/绕过检测+方便分发;这种注册门槛低的文件托管站由于其匿名性高利用成本低很容易被攻击者盯上。
继续看搜索结果,在 abuse.ch 发现有被僵尸网络传木马二进制的历史:
https://urlhaus.abuse.ch/host/file.uhsea.com/
Google 搜索结果下紧接着还有一条“file.uhsea.com 这个图床已经关了吗?”的搜索结果,得知该文件分享站还被作为图床用途使用过:
结论:
- Google 一下很多疑问都能直接解决(
- `file[.]uhsea[.]com`是无辜网站,被攻击者滥用+报告后遭多个网址安全服务拦截。
- 由于`file[.]uhsea[.]com`所传文件均通过直链方式提供,有人使用它作为图床服务。例如,当你访问包含这些图片引用的博客/论坛时,浏览器会自动给`file[.]uhsea[.]com`发 http(s)请求加载图片;
然而安全软件基于隐私与性能等各方面的考量 往往不会关心这个 http 响应传输了什么,只是看到有危险域名就掐掉。
========
2. 这种情况能不能代表 XX 代理软件有后门?
有安全意识是好的,但是我们需要知道,代理软件在这里做的只是转发了浏览器或者用户在上网时发送的请求。
举个例子,我可以使用 python/node/ruby 启动代理服务器:,然后用 curl 经过代理访问一下:
显然我们不能说“python 有后门/pypi 上有后门/nodejs 有后门/npm 上有后门/ruby 有后门”
========
3. 题外话:那 svchost.exe 是怎么回事?不少恶意软件开发者都挺喜欢注入 svchost.exe 来隐藏自身的
在 Windows 上,操作系统的 DNS 客户端与缓存服务(dnsrslvr.dll)运行在 svchost.exe 里;
无论是在地址栏按下回车的瞬间,还是自动加载媒体/脚本等资源的时刻,除 HTTP(S)/TLS 外,DNS 请求同为访问/请求的重要一环也往往会被安全软件检测拦截。
通过 Google 搜索域名关键词`uhsea.com`可以看到其主页是 https://www[.]uhsea[.]com/;
访问得知这是一个文件分享站,其注册门槛极低甚至支持游客上传,很容易被恶意软件开发者滥用。
因为现代恶意软件(甚至哪怕是 10 年前的恶意软件)往往都会先给目标通过命令行/脚本/小体积二进制等形式的加载器从网络上下载执行实际恶意逻辑的木马,以此免杀/绕过检测+方便分发;这种注册门槛低的文件托管站由于其匿名性高利用成本低很容易被攻击者盯上。
继续看搜索结果,在 abuse.ch 发现有被僵尸网络传木马二进制的历史:
https://urlhaus.abuse.ch/host/file.uhsea.com/
Google 搜索结果下紧接着还有一条“file.uhsea.com 这个图床已经关了吗?”的搜索结果,得知该文件分享站还被作为图床用途使用过:
结论:
- Google 一下很多疑问都能直接解决(
- `file[.]uhsea[.]com`是无辜网站,被攻击者滥用+报告后遭多个网址安全服务拦截。
- 由于`file[.]uhsea[.]com`所传文件均通过直链方式提供,有人使用它作为图床服务。例如,当你访问包含这些图片引用的博客/论坛时,浏览器会自动给`file[.]uhsea[.]com`发 http(s)请求加载图片;
然而安全软件基于隐私与性能等各方面的考量 往往不会关心这个 http 响应传输了什么,只是看到有危险域名就掐掉。
========
2. 这种情况能不能代表 XX 代理软件有后门?
有安全意识是好的,但是我们需要知道,代理软件在这里做的只是转发了浏览器或者用户在上网时发送的请求。
举个例子,我可以使用 python/node/ruby 启动代理服务器:,然后用 curl 经过代理访问一下:
显然我们不能说“python 有后门/pypi 上有后门/nodejs 有后门/npm 上有后门/ruby 有后门”
========
3. 题外话:那 svchost.exe 是怎么回事?不少恶意软件开发者都挺喜欢注入 svchost.exe 来隐藏自身的
在 Windows 上,操作系统的 DNS 客户端与缓存服务(dnsrslvr.dll)运行在 svchost.exe 里;
无论是在地址栏按下回车的瞬间,还是自动加载媒体/脚本等资源的时刻,除 HTTP(S)/TLS 外,DNS 请求同为访问/请求的重要一环也往往会被安全软件检测拦截。
37 天前 回复了 q2316367743 创建的主题 分享创造 自研了一款轻量级 Elasticsearch 桌面客户端(ES-Client),开源 + 专业版都有,送 20 个 Pro 激活码求体验! |
有一些问题:
0. 下载站的`/api/v1/app/download/info?appKey=xxxxxxx`这个 API 返回的包含下载信息的 JSON 有错误,`downloadUrl`字段里的"tauriKey"应该改成"electronKey"
1. 应用内更新检查调用的 API 返回的下载链接是 null
2. 用于保存配置 SQLite 数据库似乎没有初始化/初始化失败,打开后程序提示大量数据库错误,用火绒剑找到数据库位置后发现"db.sqlite"里只有元数据表
0. 下载站的`/api/v1/app/download/info?appKey=xxxxxxx`这个 API 返回的包含下载信息的 JSON 有错误,`downloadUrl`字段里的"tauriKey"应该改成"electronKey"
1. 应用内更新检查调用的 API 返回的下载链接是 null
2. 用于保存配置 SQLite 数据库似乎没有初始化/初始化失败,打开后程序提示大量数据库错误,用火绒剑找到数据库位置后发现"db.sqlite"里只有元数据表
45 天前 回复了 wisej 创建的主题 问与答 游戏加速器与梯子冲突怎么办? |
45 天前 回复了 wisej 创建的主题 问与答 游戏加速器与梯子冲突怎么办? |
哪款加速器?什么模式? 市面上的加速器一般使用 netfilter 或者 windivert ,不同产品不同模式的规则和处理逻辑差距很大。
部分加速器的这个问题是没法解决的,有些则可以;建议补充更多信息。
部分加速器的这个问题是没法解决的,有些则可以;建议补充更多信息。
52 天前 回复了 Bocchi810 创建的主题 Google 使用移动宽带和阿里 DNS,大陆有服务器的 Google 域名被解析到境外的服务器 |
Google 的问题,详见 t/1171077#r_16959183
59 天前 回复了 canteon 创建的主题 VPS 求一个国外稳定的 vps,肯定是便宜的优先 |
考虑 1 稳定性 2 便宜优先 3 大流量的话,可以考虑一下欧洲的 OVHCloud 、Hetzner 、netcup 这几家中大厂()
首先稳定性的话,OVHCloud 和 Hetzner 这两家公司有 20 年以上的历史,netcup 也有 10 年以上的历史;并且它们都在一些区域有自己的数据中心和网络基础设施。
价格方面,按年付月均算,这三家都有日常正价小于 58usd / 12 = 4.83usd 的机器;遇到限时活动的价格会更低;
流量方面,这三家的流量限制基本上在每月几十 TB 到无限。
特点:
Hetzner:更类似于弹性云,可按小时计费;新客户有优惠额度;相对而言较容易注册(可自助 KYC );
https://www.hetzner.com/cloud
OVHCloud:数据中心位置分布广泛,分公司较多,每个分站优惠和业务稍有不同。据说爱尔兰分站的独立服务器优惠最大,美国分站较容易注册且可以购买美国地区的服务器;
https://us.ovhcloud.com/vps/
https://www.ovhcloud.com/en-ie/vps/
netcup:虚拟机优惠力度较大(经常有限时活动),新客户可领优惠;账单后付费;注册需提供水电单。
https://www.netcup.com/en
https://www.netcup.com/en/deals
缺点:
考虑到价格和流量,由于地理位置和市场,这几家欧洲厂商的一些服务器到中国内地的延迟可能较高。
注意:
这几家欧洲大厂相较于一些小厂的身份验证较为严格,尤其是对于中国内地的用户。
(利益相关:实际使用过上述公司的服务,链接均无 AFF
首先稳定性的话,OVHCloud 和 Hetzner 这两家公司有 20 年以上的历史,netcup 也有 10 年以上的历史;并且它们都在一些区域有自己的数据中心和网络基础设施。
价格方面,按年付月均算,这三家都有日常正价小于 58usd / 12 = 4.83usd 的机器;遇到限时活动的价格会更低;
流量方面,这三家的流量限制基本上在每月几十 TB 到无限。
特点:
Hetzner:更类似于弹性云,可按小时计费;新客户有优惠额度;相对而言较容易注册(可自助 KYC );
https://www.hetzner.com/cloud
OVHCloud:数据中心位置分布广泛,分公司较多,每个分站优惠和业务稍有不同。据说爱尔兰分站的独立服务器优惠最大,美国分站较容易注册且可以购买美国地区的服务器;
https://us.ovhcloud.com/vps/
https://www.ovhcloud.com/en-ie/vps/
netcup:虚拟机优惠力度较大(经常有限时活动),新客户可领优惠;账单后付费;注册需提供水电单。
https://www.netcup.com/en
https://www.netcup.com/en/deals
缺点:
考虑到价格和流量,由于地理位置和市场,这几家欧洲厂商的一些服务器到中国内地的延迟可能较高。
注意:
这几家欧洲大厂相较于一些小厂的身份验证较为严格,尤其是对于中国内地的用户。
(利益相关:实际使用过上述公司的服务,链接均无 AFF
60 天前 回复了 kenxu2023 创建的主题 DNS 阿里 DNS 将部分存在境内节点的谷歌域名解析到境外导致无法连接 |
同最近遇到这个问题,排查了一下感觉可能是 Google 的权威 DNS 解析器的锅,似乎 Google 的 DNS 服务器对阿里云和中国移动的配置存在错误的“特殊关照”
===
排查思路&流程:
1. 众所周知权威 DNS 解析器一般通过递归解析器的出口 IP / EDNS Client Subnet 判断访客地理位置,于是我们可以找一个 dnslog 服务来抓一下阿里云递归解析器的出口 IP 。用 itdog 的拨测工具查询一下随机分配的域名,可以抓到以下 IP:
2. 这个 dnslog 似乎不能翻页(),就拿图中测试发现有问题的山西太原移动为例
用它的 183.201.217.0/24 作为 Client Subnet ,用国内移动的网络对 ns1.google.com 直接发起查询:
dig @ns1.google.com connectivitycheck.gstatic.com A +subnet=183.201.217.0/24 +norec
ns1.google.com 返回了美国 Google 的 142 开头的 IP 。这样直接请求的过程完全没经过阿里的服务器处理,暂时可以排除 alidns 的嫌疑了。
3. 起一个 Cloudshell 从阿里云的服务器上请求一次,还是同样的结果。
但是把 EDNS 里的客户端子网换成一个“干净的 IP 段”就能得到正确响应,例如我们这里用 sx.10086.cn 的 IP 地址试一下,可以看到 Google 返回了国内的 CDN:
dig @ns1.google.com connectivitycheck.gstatic.com A +subnet=183.203.36.0/24 +norec
(其它国内 IP 也行,哪怕 1.14.5.14/32 也可以
( dig @ns1.google.com connectivitycheck.gstatic.com A +subnet=1.14.5.14/32 +norec
4. 更神奇的来了,在腾讯云上请求 ns1.google.com 时,即使 EDNS Client Subnet 里填写“不干净的 IP”也能得到正确结果(这里换成电信/联通应该也可以,实测联通没问题):
=====
总结:
- 对于此类有国内 CDN 加速的 Google 服务,Google 的权威 DNS 服务器在遇到“阿里 DNS 查询上游所用的部分中国移动出口 IP 地址”时,会错误地返回国际 CDN IP 。
- 在内地使用腾讯云/中国联通/中国电信的 IP 或网络对 Google 的 DNS 服务器发起查询似乎不受影响。
- 该问题理论上与劫持无关,因为使用海外测试服务器可以得到与境内阿里云/中国移动类似的结果。
======
解决方法:
如果要继续使用阿里 DNS ,可以对客户端进行配置,为 AliDNS 配置一个 EDNS Client Subnet (阿里的公共递归 DNS 会转发 Client Subnet )。
mihomo 的配置方法见如下文档:
https://wiki.metacubex.one/config/dns/#_1
sing-box 的配置方法见如下文档:
https://sing-box.sagernet.org/migration/#__tabbed_1_13
https://sing-box.sagernet.org/zh/configuration/dns/rule_action/#client_subnet
(若要兼顾就近 CDN 调度与隐私,EDNS Client Subnet 的值一般可以随便填写一个同市/省会的 IP
===
排查思路&流程:
1. 众所周知权威 DNS 解析器一般通过递归解析器的出口 IP / EDNS Client Subnet 判断访客地理位置,于是我们可以找一个 dnslog 服务来抓一下阿里云递归解析器的出口 IP 。用 itdog 的拨测工具查询一下随机分配的域名,可以抓到以下 IP:
2. 这个 dnslog 似乎不能翻页(),就拿图中测试发现有问题的山西太原移动为例
用它的 183.201.217.0/24 作为 Client Subnet ,用国内移动的网络对 ns1.google.com 直接发起查询:
dig @ns1.google.com connectivitycheck.gstatic.com A +subnet=183.201.217.0/24 +norec
ns1.google.com 返回了美国 Google 的 142 开头的 IP 。这样直接请求的过程完全没经过阿里的服务器处理,暂时可以排除 alidns 的嫌疑了。
3. 起一个 Cloudshell 从阿里云的服务器上请求一次,还是同样的结果。
但是把 EDNS 里的客户端子网换成一个“干净的 IP 段”就能得到正确响应,例如我们这里用 sx.10086.cn 的 IP 地址试一下,可以看到 Google 返回了国内的 CDN:
dig @ns1.google.com connectivitycheck.gstatic.com A +subnet=183.203.36.0/24 +norec
(其它国内 IP 也行,哪怕 1.14.5.14/32 也可以
( dig @ns1.google.com connectivitycheck.gstatic.com A +subnet=1.14.5.14/32 +norec
4. 更神奇的来了,在腾讯云上请求 ns1.google.com 时,即使 EDNS Client Subnet 里填写“不干净的 IP”也能得到正确结果(这里换成电信/联通应该也可以,实测联通没问题):
=====
总结:
- 对于此类有国内 CDN 加速的 Google 服务,Google 的权威 DNS 服务器在遇到“阿里 DNS 查询上游所用的部分中国移动出口 IP 地址”时,会错误地返回国际 CDN IP 。
- 在内地使用腾讯云/中国联通/中国电信的 IP 或网络对 Google 的 DNS 服务器发起查询似乎不受影响。
- 该问题理论上与劫持无关,因为使用海外测试服务器可以得到与境内阿里云/中国移动类似的结果。
======
解决方法:
如果要继续使用阿里 DNS ,可以对客户端进行配置,为 AliDNS 配置一个 EDNS Client Subnet (阿里的公共递归 DNS 会转发 Client Subnet )。
mihomo 的配置方法见如下文档:
https://wiki.metacubex.one/config/dns/#_1
sing-box 的配置方法见如下文档:
https://sing-box.sagernet.org/migration/#__tabbed_1_13
https://sing-box.sagernet.org/zh/configuration/dns/rule_action/#client_subnet
(若要兼顾就近 CDN 调度与隐私,EDNS Client Subnet 的值一般可以随便填写一个同市/省会的 IP
Select Language