求解答，关于 alist 泄露问题

106 天前

hausen

之前本地搭建的 alist 使用云服务器暴露在公网上，之前一直有开二验，但是由于开二验不能被其他 list 挂载就关闭了二验证。

今天突然发现云服务器上传消耗巨大，才发现有人一直尝试下载 alist 文件，都是携带签名进行下载如 `?sign=T42d4vbRHIzxxAfAS3fTV9c3mUGU7nlvdivEH7lFfGc=:0`，应该是没有泄露账号密码的可能。并且下载也没有很大规律，并且下载的基本也不是重要文件，所以不清楚这是不是机器扫描的行为。

现在就有疑问不知道是漏洞我做了什么操作导致的？ alist 版本是 v3.45.0

2409 次点击

所在节点

NAS

16 条回复

gunner168

106 天前

吓得我赶紧把 Alist 给卸载了，现在各家网盘不开会员下载基本不可用，本地数据备份到网盘又怕大上传运营商判定为 pcdn ，实在鸡肋

ayanami520

106 天前

有个叫佛法的网站可以扫的，之前 YouTube 一堆教程教你扫别人的 Alist 或者 BPB 面板（进去偷代理）

lp4298707

106 天前

还有 cloudDrive2 也别用,把我 nas 当肉鸡一直在上传东西

PerFectTime

106 天前

开 guest 了？

hausen

106 天前

@PerFectTime 没开，不知道什么情况搞的

darklinden

106 天前

前几天下 windows 镜像发现 msdn I tell you 的 bt 没种，
Google 文件名发现一堆 alist 以为是哪路菩萨造福群众的，都是下到 80%-90%断了无法续传...

又搜了半天找到个度盘，下完 check sha1 sha256 正常用了...

看到这个帖子，该不会是...😨

hausen

106 天前

@darklinden 不好说什么情况，反正东西是泄露了，现在目前猜测是 raidrive ，

czzt1

105 天前

开 ssl 了吗，webdav 是明文的，没 ssl 等于裸奔

hausen

105 天前

@czzt1 开了，现在感觉是下载的 raidrive 有问题，把挂载的 alist 的 302 转发带签名的给泄露出去了

Nitsuya

105 天前

@hausen #9

确定么, 我也在用 raidrive, 但是挂的小东西, 又是重要文件,

ddczl

105 天前

alist 我都只敢开内网

hausen

105 天前

@Nitsuya 目前关掉没出现这种情况，我不清楚是不是我下载的这个有问题，忘记哪里下载的了。刷新 token 以后，并且关闭 raidrive 目前没出现过其他访问的情况。晚点再开启软件试试

hausen

105 天前

@ddczl 内网最主要是很多时候不方便

psllll

104 天前

开游客了？或者弱密码被爆破了

lecia

93 天前

https://www.v2ex.com/t/1137764 突然发现有痕可循了🤔

hausen

93 天前

@lecia 我也怀疑极有可能

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1135084

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.