这是一个创建于 79 天前的主题,其中的信息可能已经有所发展或是发生改变。
Mac:
grep -arlE "rl_mc|rl_headers" ~/Library/Application\ Support/apifox/Local\ Storage/leveldb
Windows:
Select-String -Path "$env:APPDATA\apifox\Local Storage\leveldb\*" -Pattern "rl_mc","rl_headers" -List | Select-Object Path
Linux:
grep -arlE "rl_mc|rl_headers" ~/.config/apifox/Local\ Storage/leveldb/
以上命令只要有输出记录, 则表明可能中招, 请务必更换清理敏感信息, 包括不限于: SSH 私钥、Git 凭证和命令行历史.
如果已经卸载掉了, 可以使用检查 dns 历史中是否存在 apifox.it.com 的解析记录来检查
Mac:
sudo dscacheutil -q host -a name apifox.it.com
Linux, Windows 请 V 友们补充.
为了防止后续这个域名再被激活, 以及有其他的后门程序, 可以在/etc/hosts 里将这个域名给阻断掉
127.0.0.1 apifox.it.com
以上, 是我在其他帖子或信息中总结的, Mac 端的命令验证好用, 其他端请 V 友验证.
 |
1 Nasdaq 3 月 27 日name: apifox.it.com 中招了,不过已经换了 ssh key + 各种 export=ai key 。 |
 |
2 mrhuhehe 3 月 27 日Mac ,上面命令没输出但下面有解析记录,如何判断 |
 |
3 JoeJoeJoe 3 月 27 日 |
 |
5 ersic 3 月 27 日apifox\Local Storage\leveldb\000095.ldb |
 |
6 licoycn 3 月 27 日密钥使用 ed25519 ,应该没啥问题吧 |
|
7 JoeJoeJoe 3 月 27 日 |
 |
8 rich1e 3 月 27 日op 帮忙看看 前段时间,一直在用 apifox ,结合 mcp ,用的嘎嘎爽。 |
 |
12 Smileh 3 月 27 日还好我用的 apipost |
 |
13 RayJiang9 3 月 27 日昨天发现中招了,把 ssh 改成用 Bitwarden 管理一劳永逸 |
 |
15 windorz 3 月 27 日✅ 未发现泄露迹象: |
 |
16 xwh201314 3 月 27 日只有文件 |
 |
19 PrtScScrLk 3 月 27 日@JoeJoeJoe #14 是,这次真的危机感很重了,不过刚想了下自己好像也没什么数字资产。哈哈哈给自己逗乐了。这次真的只是个开始,现在准备着手重装一下自己手上的主机,ssh key 已经全部清空轮换了。唉,有种自己家被人随意进出的感觉。真难受啊。昨天都没睡好觉。降本增笑的事情这几年越来越多了。 |
 |
20 czhen 3 月 27 日个人电脑有什么好的防护措施吗? 也搞白名单? |
|
21 PrtScScrLk 3 月 27 日@windorz 我一个平台,很久没用了,登录上去看到最近一次 ssh key 使用 3.7 ,人麻了。= =还好看了一下是很多过时的内容,应该不会怎么样。 |
|
22 JoeJoeJoe 3 月 27 日@PrtScScrLk #21 哈哈哈哈 仔细检查一下, 别侥幸. 其实黑客也会筛选目标, 普通用户没啥太大的价值, 只能当个肉鸡跳板啥的. @czhen AI 的安全防护目前应该是空白, 坐等安全厂商吧. |
 |
23 willxiang 3 月 27 日PS C:\Windows\system32> Select-String -Path "$env:APPDATA\apifox\Local Storage\leveldb\*" -Pattern "rl_mc","rl_headers" -List | Select-Object Path Path 这表明已经中招了? |
 |
31 devezio 3 月 27 日同中招 |
 |
33 cz5424 3 月 27 日貌似过年前就删掉了这个软件 |
 |
34 AkaGhost 3 月 27 日中招了,去轮换 SSH 密钥了 |
 |
35 safdi 3 月 27 日
|
|
37 AkaGhost 3 月 27 日@JoeJoeJoe #36 唉,轮了三台服务器 SSH 密钥,又吊销了两个 GPG 。还好最重要的 GPG 在 Yubikey 里,有硬件保护,不然就头疼了。 |
 |
39 p2007 3 月 27 日不知道恶意脚本有没有干其他事情 |
 |
40 c5CctNIhsD0KKs45 3 月 27 日前几天刚把系统升级成 macOS 26 ,并且恢复了出厂设置,apifox 还没来得及安装,看到这个。。。 |
 |
42 codersdp1 3 月 27 日已经升级到最新版后,再执行 grep -arlE "rl_mc|rl_headers" ~/Library/Application\ Support/apifox/Local\ Storage/leveldb |
 |
51 wwwwjack 3 月 27 日当时还跟公司强烈推荐过这个玩意, 还好最终没采用 想象真阔怕 |
 |
52 coderzhangsan 3 月 27 日windows 已中招,昨天就卸载 apifox 了,万幸的是 github 一直没登录过,在本地没有密钥,git 密钥放在其他目录下,没有在.ssh 目录下,查看 gitlab 日志没有非法的日志记录,不过出于安全考虑,依然换了 git 密钥,想咨询下 OP ,window 下 shell 软件会话配置会被窃取吗?个人用的 securecrt ,远程服务器有跳板机,使用的是密码,没有使用密钥。 |
 |
55 C64NRD 3 月 27 日一直没开过 apifox ,dns 历史竟然有记录? |
 |
57 IceRovah 3 月 28 日我把之前的帖子喂给 codex ,让它帮我查的,中招了。 不过话说回来,idea 插件直接导出到 apifox 真心方便,不知道有没有平替。 |
|
59 PrtScScrLk 4 月 2 日@q534 好的大佬,我现在都加了。就是每次做点用到 key 的操作就要输入密码,没有以前那般舒爽了。 |
 |
60 q534 4 月 2 日@PrtScScrLk 每次输会面对输入监听,也是风险的一种。可以考虑:1 设置 config 让密码保持一段时间,如 1 小时,这样每天集中连服务器的时间体验要好一些。而且读其他进程的内存也没那么容易(所以这次攻击者其实读取的都是~下的纯文本) 2 mac 的话,用 keychain ,更方便 |
此内容由惯性聚合(RSS阅读器)自动聚合整理,仅供阅读参考。 原文来自 — 版权归原作者所有。
