GoEdge投毒事件复盘，含解决办法及注册机

admin

**事件概述**
2024年5月中下旬，GoEdge的QQ群突然解散，群主超哥自5月20日起失联。当天上午9点及下午6点，分别发布了两个版本的更新：
- **上午9点更新：**
  - 版本：1.3.9
  - `edge-node` MD5：8EBAC47C212DBB41CC0B2B9C6D4B32E4
  - 压缩包MD5：D6B495249683D981DEA15B5BAD97ACDB
- **下午6点更新：**
  - `edge-node` MD5：54D7FDD77A1DBB8431B186BAC03C6429
  - 压缩包MD5：88D96C2696C7F842BCEE66B833412571
  - 管理平台压缩包MD5：FFDF4E395BE3096787396C46F4B793CF
这些更新引发了一系列疑问。
**初步分析**
通过微步云沙箱分析了上述版本，发现两个版本中的URL并无明显差异，除了域名从`.cn`变为`.cloud`。进一步发现，GoEdge的Telegram群组在5月22日重新活跃起来。
**近期发现**
随后，用户们注意到网站底部插入了一段可疑的JS代码。针对7月10日发布的1.4.1版本进行分析时，发现了相同的可疑URL：
```
https://cdn.jsdelivr.vip/jquery.min-3.7.0.js
```
**深入调查**
26日凌晨，用户们发现网站底部出现了一些未经许可的代码。通过分析，确认这些代码可以通过简单的HTML注释来禁用。进一步研究发现，这些代码指向了一个混淆加密的JS文件，其行为随地理位置和设备类型变化。
**解决方案**
为了应对这一安全威胁，建议用户回滚至5月20日上午的版本，并采取以下步骤：
1. 在主控屏蔽GoEdge域名。
2. 使用提供的谷歌盘存档恢复主控和节点程序。
3. 清除可能存在的受污染缓存数据。
具体的命令如下：
```bash
# 屏蔽域名
echo "127.0.0.1 goedge.cloud" | sudo tee -a /etc/hosts > /dev/null
echo "127.0.0.1 goedge.cn" | sudo tee -a /etc/hosts > /dev/null
cat /etc/hosts
# 回滚主控
cd 主控安装目录
./edge-admin upgrade --url=https://dl.naixi.net/cdn/goedge/goedgecn/edge-admin-linux-amd64-plus-v1.3.9.zip
# 替换节点程序
cd 安装目录
rm -rf edge-node-linux-amd64-plus-v1.3.9.1.zip
wget -O edge-node-linux-amd64-v1.3.9.zip https://dl.naixi.net/cdn/goedge/goedgecn/edge-node-linux-amd64-plus-v1.3.9.zip
# 清除节点程序
cd /root/edge-node
./edge-node/bin/edge-node cache.garbage --delete
curl -L "https://dl.naixi.net/cdn/goedge/goedgecn/edge-node-linux-amd64-plus-v1.3.9.zip" -o edge-node-linux-amd64-plus.zip -C - -#
./edge-node/bin/edge-node stop
rm -rf ./edge-node/data
rm -rf ./edge-node/bin
rm -rf /opt/cache
unzip -o edge-node-linux-amd64-plus.zip
./edge-node/bin/edge-node restart
rm -rf *.zip
mkdir /opt/cache
```
请注意检查所有相关目录以确保没有残留的恶意文件。