求解答，关于 alist 泄露问题

2025 年 5 月 29 日

hausen

之前本地搭建的 alist 使用云服务器暴露在公网上，之前一直有开二验，但是由于开二验不能被其他 list 挂载就关闭了二验证。

今天突然发现云服务器上传消耗巨大，才发现有人一直尝试下载 alist 文件，都是携带签名进行下载如 `?sign=T42d4vbRHIzxxAfAS3fTV9c3mUGU7nlvdivEH7lFfGc=:0`，应该是没有泄露账号密码的可能。并且下载也没有很大规律，并且下载的基本也不是重要文件，所以不清楚这是不是机器扫描的行为。

现在就有疑问不知道是漏洞我做了什么操作导致的？ alist 版本是 v3.45.0

2797 次点击

所在节点

NAS

16 条回复

gunner168

2025 年 5 月 29 日

吓得我赶紧把 Alist 给卸载了，现在各家网盘不开会员下载基本不可用，本地数据备份到网盘又怕大上传运营商判定为 pcdn ，实在鸡肋

ayanami520

2025 年 5 月 29 日

有个叫佛法的网站可以扫的，之前 YouTube 一堆教程教你扫别人的 Alist 或者 BPB 面板（进去偷代理）

lp4298707

2025 年 5 月 29 日

还有 cloudDrive2 也别用,把我 nas 当肉鸡一直在上传东西

PerFectTime

2025 年 5 月 29 日

开 guest 了？

hausen

2025 年 5 月 29 日

@PerFectTime 没开，不知道什么情况搞的

darklinden

2025 年 5 月 29 日

前几天下 windows 镜像发现 msdn I tell you 的 bt 没种，
Google 文件名发现一堆 alist 以为是哪路菩萨造福群众的，都是下到 80%-90%断了无法续传...

又搜了半天找到个度盘，下完 check sha1 sha256 正常用了...

看到这个帖子，该不会是...😨

hausen

2025 年 5 月 29 日

@darklinden 不好说什么情况，反正东西是泄露了，现在目前猜测是 raidrive ，

czzt1

2025 年 5 月 30 日

开 ssl 了吗，webdav 是明文的，没 ssl 等于裸奔

hausen

2025 年 5 月 30 日

@czzt1 开了，现在感觉是下载的 raidrive 有问题，把挂载的 alist 的 302 转发带签名的给泄露出去了

Nitsuya

2025 年 5 月 30 日

@hausen #9

确定么, 我也在用 raidrive, 但是挂的小东西, 又是重要文件,

ddczl

2025 年 5 月 30 日

alist 我都只敢开内网

hausen

2025 年 5 月 30 日

@Nitsuya 目前关掉没出现这种情况，我不清楚是不是我下载的这个有问题，忘记哪里下载的了。刷新 token 以后，并且关闭 raidrive 目前没出现过其他访问的情况。晚点再开启软件试试

hausen

2025 年 5 月 30 日

@ddczl 内网最主要是很多时候不方便

psllll

2025 年 5 月 31 日

开游客了？或者弱密码被爆破了

lecia

2025 年 6 月 11 日

https://www.v2ex.com/t/1137764 突然发现有痕可循了🤔

hausen

2025 年 6 月 11 日

@lecia 我也怀疑极有可能

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1135084

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.