V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
maichaide
V2EX  ›  Linux

远离国产软件,只配在虚拟机和沙箱里跑!

  •  
  •   maichaide · 2022-11-08 00:16:25 +08:00 · 21395 次点击
    这是一个创建于 736 天前的主题,其中的信息可能已经有所发展或是发生改变。
    硬盘一阵狂响,WPS for linux 后门服务启动了!
    128 条回复    2022-11-12 23:48:38 +08:00
    1  2  
    alanying
        1
    alanying  
       2022-11-08 00:22:04 +08:00   ❤️ 2
    这种有些时候也会魔怔。

    现在我都不太敢安装不开源的软件,除非真的大厂被广泛应用的软件绕不开
    723X
        2
    723X  
       2022-11-08 00:33:22 +08:00 via Android   ❤️ 6
    我靠,这进程名太嚣张了
    不过我想起来我那虚拟机名字起的是 go-fuck-yourself
    docx
        3
    docx  
       2022-11-08 00:35:42 +08:00 via iPhone   ❤️ 3
    名字很实诚😂
    ltkun
        4
    ltkun  
       2022-11-08 00:38:15 +08:00 via Android
    还有啥能兼容 office 的除了 wps
    maichaide
        5
    maichaide  
    OP
       2022-11-08 00:47:44 +08:00   ❤️ 1
    @ltkun 换回 libreoffice 了,不属于重度 Office 用户基本够用了
    hingle
        6
    hingle  
       2022-11-08 00:52:14 +08:00 via iPhone
    op 用的是国际版 (wps.com) 还是国内版?改天我也要看一下电脑里有没有这个程序…
    CEBBCAT
        7
    CEBBCAT  
       2022-11-08 01:09:32 +08:00   ❤️ 1
    microxiaoxiao
        8
    microxiaoxiao  
       2022-11-08 01:31:20 +08:00 via Android   ❤️ 14
    楼主这样很不好,看到后台进程都算后门嘛?除非你能说明白它到底干了啥坏事,别误导用户。wps 也是有很多付费用户的。
    xyz8899
        9
    xyz8899  
       2022-11-08 07:53:55 +08:00   ❤️ 21
    #8 不要为 WPS 洗地了,之前爆出来的含敏感词的文档被 WPS 远程删除的事还没过多久吧!这就是你要的事实吗!
    sorcerer
        10
    sorcerer  
       2022-11-08 07:57:44 +08:00 via iPhone   ❤️ 1
    @xyz8899 但你不能否认 wps 给 Linux 生态的贡献
    xyz8899
        11
    xyz8899  
       2022-11-08 08:11:33 +08:00   ❤️ 60
    @sorcerer 小偷偷了你 100 元钱,给警察交了 50 元保护费,给社区捐了 20 元做公益,但是他还是小偷,还是助纣为虐的小偷!
    Linux 的生态不需要这种小偷来贡献!
    这种小偷是为了偷更多的东西才做贡献的!
    开源的做贡献的人很多,为啥别人可以无私地做贡献,你却要助纣为虐地去偷东西!
    hhacker
        12
    hhacker  
       2022-11-08 08:22:11 +08:00   ❤️ 6
    WPS 一生黑, 并不是它文档功能做得不好, 而是各种流氓小动作太多了, 如果非要用,建议用 DOS 版的
    StephenHe
        13
    StephenHe  
       2022-11-08 08:24:20 +08:00   ❤️ 2
    腾讯文档吧,在浏览器用用。wps 内含一个看图片的插件,这个插件真他妈卡
    shakoon
        14
    shakoon  
       2022-11-08 08:42:36 +08:00   ❤️ 1
    wps 有一个文档雷达功能,就是扫描全盘的 office 文件,让用户能快速找到和打开。对小白用户似乎挺好的,但是这玩意是安装后默认就运行,而且关闭的选项很隐蔽,这就属于不道德的行为了,和浏览器流氓插件没有区别。
    ps ,我 wps 超级会员已充值到 2028 年,但是 wps 有些地方真的是用一次骂一次
    chutsetien
        15
    chutsetien  
       2022-11-08 08:46:35 +08:00
    可以试试 Softmaker Office, 全平台,和 MSO 很像且「还原度」高(比如它的 Excel 函数是最多的),买断或者订阅都可以,价格也不贵。
    RRyo
        16
    RRyo  
       2022-11-08 08:53:35 +08:00
    公司没采购 office,但是我又不行食 wps 的奥利给,所以我选择 libreoffice😇
    R18
        17
    R18  
       2022-11-08 08:58:33 +08:00 via Android   ❤️ 14
    @xyz8899 都被证伪的东西你现在拿出来说是事实?
    bclerdx
        18
    bclerdx  
       2022-11-08 08:59:18 +08:00 via Android
    @shakoon 是国际版么?怎么关闭雷达功能?
    sorcerer
        19
    sorcerer  
       2022-11-08 09:01:31 +08:00 via iPhone
    @xyz8899 别激动,打这么多感叹号干嘛 :D ,在网上,你支持你的,我支持我的,谁也说服不了谁。
    masker
        20
    masker  
       2022-11-08 09:02:11 +08:00 via Android   ❤️ 8
    @R18 你不能和 v2 的人争论,他们认定的事实,你改变不了
    youisme
        21
    youisme  
       2022-11-08 09:03:29 +08:00
    看起来是个索引进程
    CEBBCAT
        22
    CEBBCAT  
       2022-11-08 09:04:00 +08:00 via iPhone   ❤️ 6
    @xyz8899 要曝光就拿实锤打金山的脸。拿一个句柄占用的图说明不了什么。别人只是辩解两句就叫洗地了?那我这样不得是收黑钱?没人教你有话好好讲的?
    ragnaroks
        23
    ragnaroks  
       2022-11-08 09:06:30 +08:00
    可以试下 ONLYOffice
    olaloong
        24
    olaloong  
       2022-11-08 09:06:59 +08:00 via Android
    @xyz8899 什么时候谣言变成远程删除了?是删除上传到云空间里的文档吧,类似百度网盘。用户本地文档谁敢删啊
    zololiu
        25
    zololiu  
       2022-11-08 09:11:05 +08:00   ❤️ 2
    就没人吐槽一下恶心的 WPS 的全家桶吗?安装个文档软件,看图工具,盘符位置,弹窗广告,右键占用,无处不在。
    Radom
        26
    Radom  
       2022-11-08 09:18:37 +08:00
    太可怕了
    cweijan
        27
    cweijan  
       2022-11-08 09:18:45 +08:00
    @RRyo 用 wps 国际版就好
    Garalt
        28
    Garalt  
       2022-11-08 09:23:40 +08:00   ❤️ 3
    这是否有点魔怔了,wps 开发个软件有个后台进程,就被说成小偷了?
    RainCats
        29
    RainCats  
       2022-11-08 09:23:45 +08:00
    @xyz8899 如果我没记错,不是被远程删除吧,等会找找当初的帖子啥的过一下
    zhchyu999
        30
    zhchyu999  
       2022-11-08 09:32:02 +08:00   ❤️ 15
    都魔怔了,带着有色眼镜看问题,判断全靠猜
    mrpzx001
        31
    mrpzx001  
       2022-11-08 09:35:18 +08:00   ❤️ 1
    @723X everything 怎么了? windows 下的搜索文件不就叫 everything 么?
    dcsite
        32
    dcsite  
       2022-11-08 09:36:06 +08:00   ❤️ 1
    WPS 好,WPS 妙,用 WPS 的用户呱呱叫
    minami
        33
    minami  
       2022-11-08 09:39:29 +08:00   ❤️ 8
    @olaloong #24 你也说错了,是把远程和本地的都锁定了,用户无法用 wps 打开,用 office 可以打开。删文件从一开始就是公众号传谣,原事主一直说的是打不开,而且云空间也是会员自动上传的,事主并未主动分享
    KKLeon
        34
    KKLeon  
       2022-11-08 09:45:03 +08:00 via Android
    @zhchyu999 反正网上无所谓,口无遮拦,张口就来,又没啥责任,自己还能口嗨一把爽歪歪不是🐶
    sorcerer
        35
    sorcerer  
       2022-11-08 09:54:02 +08:00   ❤️ 1
    @Garalt 这是诡辩术的罪恶关联,一开始就把 wps 当成罪大恶极的公司
    lakehylia
        36
    lakehylia  
       2022-11-08 10:00:22 +08:00
    windows office 解君愁
    yyyb
        37
    yyyb  
       2022-11-08 10:01:29 +08:00   ❤️ 1
    金山出品必属流氓
    maichaide
        38
    maichaide  
    OP
       2022-11-08 10:02:54 +08:00   ❤️ 10

    从微步云沙箱分析看,访问了共享库,通过共享库可以随时拿到 root 权限,运行任意代码
    maichaide
        39
    maichaide  
    OP
       2022-11-08 10:03:43 +08:00
    @hingle 国际版,不过国内版有 Windows 服务,那个服务删除后会自己重新生成
    twor2
        40
    twor2  
       2022-11-08 10:04:59 +08:00
    v2 被害妄想症
    不过这也是一个阶段,都是以前的报应,也算公平吧
    kokutou
        41
    kokutou  
       2022-11-08 10:07:28 +08:00 via Android
    这个 everything 就是那个搜索文件的 everything ,
    我不知道一个 office 软件为啥要自带一个可以全盘搜索文件的软件。
    maichaide
        42
    maichaide  
    OP
       2022-11-08 10:08:56 +08:00
    @maichaide 交流得平心静气,有理有据,不要打无意义的口水仗,这个进程中隐藏了不少函数调用,目前能看到的有 strcmp 函数和 socket 相关函数,可能存在查找比对行为,但没有发现网络通信,或许需要特定条件,只能静态分析逆向看看了
    LaGeNanRen
        43
    LaGeNanRen  
       2022-11-08 10:14:22 +08:00
    老电脑用户都懂,kingsoft ? yes !
    clrss
        44
    clrss  
       2022-11-08 10:26:18 +08:00
    Jobs: 幸亏我要求强制 Sandbox
    ospider
        45
    ospider  
       2022-11-08 10:28:34 +08:00
    @StephenHe 第一次尝试用腾讯文档的表格,连排序都错了……感觉 office 这些东西看似简单,也还是需要写行业经验积累的。
    lookStupiToForce
        46
    lookStupiToForce  
       2022-11-08 10:44:04 +08:00   ❤️ 2
    国产软件因为有几个大流氓混得那叫一个风生水起,所以小流氓也无所顾忌,确实只配活在沙箱 /虚拟机
    况且还有一个黑帮老大虎视眈眈地盯着底下的流氓让按时上供和提供后门,真没啥理由放他们出来
    xiaoyao9933
        47
    xiaoyao9933  
       2022-11-08 11:16:13 +08:00   ❤️ 1
    有个后台进程还好啊,不喜欢可以关掉嘛
    terence4444
        48
    terence4444  
       2022-11-08 11:32:51 +08:00 via iPhone
    @sorcerer WPS 流氓并不是秘密,有个东西叫“前科”。
    stkstkss
        49
    stkstkss  
       2022-11-08 11:38:03 +08:00 via iPhone
    有哪个可以替代 wps 的? op 主
    stkstkss
        50
    stkstkss  
       2022-11-08 11:40:45 +08:00 via iPhone
    @lakehylia windows office 哪里下载 需要激活吗
    shuxhan
        51
    shuxhan  
       2022-11-08 12:13:20 +08:00
    目前只在公司用 wps ,自己电脑订阅了 office
    lzyliangzheyu
        52
    lzyliangzheyu  
       2022-11-08 12:23:58 +08:00
    我主观认为跟雷军有关系的事物或多或少在道德品质上是有问题的。(不涉及技术能力、质量的评判)
    lzyliangzheyu
        53
    lzyliangzheyu  
       2022-11-08 12:30:24 +08:00
    @stkstkss 搜索引擎 office 365 developer E5 licence ,我从 18 年免费用到至今了
    lbm008
        54
    lbm008  
       2022-11-08 12:33:20 +08:00
    我最近正犹豫要不要试试 Qubes
    ysc3839
        55
    ysc3839  
       2022-11-08 12:34:12 +08:00 via Android   ❤️ 1
    本质是信任问题,这个没法说服对方的。
    @maichaide #38 这图看不出怎么能拿到 root 权限。
    不过如果安装软件时使用的是系统包管理,那这个时候软件就能拿到并保留 root 权限。而且传统桌面 Linux 和 Windows 类似,都没有应用级的权限管理,用户能做的事程序都能做,包括但不限于录音、录像、录屏、访问用户能访问的所有文件等。
    citydog
        56
    citydog  
       2022-11-08 12:37:11 +08:00
    额... 付费用了五年多了,很好用啊...
    summer2019
        57
    summer2019  
       2022-11-08 12:37:37 +08:00 via iPhone   ❤️ 1
    @olaloong PDD 和 QQ 表示赞同。
    前者把用户手机里的,关于它活动规则的截图给删了
    后者把用户手机里的悦文合同图片给删了
    ksc010
        58
    ksc010  
       2022-11-08 12:40:42 +08:00   ❤️ 1
    @maichaide 你普通用户运行 wps 它还能拿到系统 ROOT 权限?
    wxf666
        59
    wxf666  
       2022-11-08 12:48:20 +08:00   ❤️ 12
    楼上的建议远离 Chrome 吗?

    这货时不时有个 software_reporter_tool 扫硬盘也很吃资源,风扇呼呼响,而且没有提供选项关掉
    cholerae
        60
    cholerae  
       2022-11-08 12:53:17 +08:00   ❤️ 2
    @maichaide “通过共享库可以随时拿到 root 权限” 这个是怎么实现的?没看懂图片里哪里提到了这个
    billlee
        61
    billlee  
       2022-11-08 12:55:48 +08:00 via Android   ❤️ 1
    不止是国产软件,linux 下应该闭源软件都进沙盒。
    abuabu
        62
    abuabu  
       2022-11-08 13:26:07 +08:00
    远离,但是在用。没人吐槽楼主标题吗?

    大家应该不使用所有国产软件,自己电脑里不能出现任何中文字符
    whywaoxaks
        63
    whywaoxaks  
       2022-11-08 13:36:51 +08:00
    你发错地方了,我不相信 真・v2exer 还有用国产软件的。
    davelm
        64
    davelm  
       2022-11-08 13:36:53 +08:00
    所有国产软件我都装在 vmware 中,用 Unity 模式,使用体验没啥区别
    weizhen199
        65
    weizhen199  
       2022-11-08 13:46:56 +08:00   ❤️ 1
    @wxf666 鬼佬看 google 和我们看 QQ 的态度是差不多的
    kwh
        66
    kwh  
       2022-11-08 13:55:38 +08:00
    wps 本身就有问题,2019 年的时候,wps 用了一段时间,百分之百的卡顿,任务管理器一看 wps cpu 飙升。最后记不清了,好像还卡死电脑了???

    然后我就用了 office 了。。。
    hahawode
        67
    hahawode  
       2022-11-08 13:58:26 +08:00
    “硬盘一阵狂响,WPS for linux 后门服务启动了!”

    好好笑 哈哈哈
    majula
        68
    majula  
       2022-11-08 14:12:45 +08:00
    @billlee #61

    开源软件也应该视情况进沙箱 /虚拟机,或者物理隔离。

    因为就算是很牛逼的程序员兼安全工程师,也很难有能力或者说精力审计其运行的每一行代码。这时即使开发者没有恶意投毒,也(很)可能有安全漏洞被恶意利用

    我现在是只有知名开源软件的稳定版本裸奔在我的 PC 上,有机会接触到相对私密的数据。其他程序一律虚拟机,并且只会喂给脱敏后的数据

    对于非常私密的数据,我有一台从未与互联网直接或者间接(比如通过硬盘传递数据)接触的 PC 来处理。
    tool2d
        69
    tool2d  
       2022-11-08 14:16:42 +08:00
    everything 这名字一看,就知道是磁盘 NTFS 搜索服务,楼主少见多怪了。

    而且一个服务会自己提权 ROOT ?不太可能的好吧。
    BQsummer
        70
    BQsummer  
       2022-11-08 14:41:20 +08:00
    @maichaide 截图有啥问题, 又不是修改 /etc/ld.so.conf
    BJL
        71
    BJL  
       2022-11-08 14:46:22 +08:00
    幸好我是 mac,mac 的 wps 没有广告
    ndxxx
        72
    ndxxx  
       2022-11-08 14:54:25 +08:00
    Linux 上的 WPS 也分 wps-office 和 wps-office-cn 两个主包,前者是洋大人特供版,似乎没有这个文件。
    wfd0807
        73
    wfd0807  
       2022-11-08 15:22:50 +08:00   ❤️ 1
    ❯ pacman -Qs wps
    local/ttf-wps-fonts 1.0-5
    Symbol fonts required by wps-office.
    local/wps-office 11.1.0.11664-2
    Kingsoft Office (WPS Office) - an office productivity suite
    local/wps-office-fonts 1.0-2
    The wps-office-fonts package contains Founder Chinese fonts

    ❯ find /usr/lib/office6 -name "*Daemon*"
    /usr/lib/office6/EverythingDaemon

    @ndxxx archlinux 特供版也存在这个文件
    ndxxx
        74
    ndxxx  
       2022-11-08 15:46:35 +08:00   ❤️ 10
    @wfd0807 是的,看来以后要小心了。我最近还在想为啥 Linux 版的 wps 最近的一年更新变勤快了呢,现在思路清晰了,以后国产的 UOS 发展铺开了,wps 必然是一块重要的拼图。以史为鉴:

    hirenloongdddd
        75
    hirenloongdddd  
       2022-11-08 15:51:30 +08:00
    在线文档能解决 99% 的问题,工作基本都是腾讯文档了
    JohnSmith
        76
    JohnSmith  
       2022-11-08 15:58:09 +08:00
    wps 删文档的事情历历在目
    idrawer
        77
    idrawer  
       2022-11-08 16:00:44 +08:00 via Android   ❤️ 1
    @sorcerer 不需要诡辩,中资大公司就是原罪,就是约等于当局审查帮凶。这个有人有意见吗?
    Kinnice
        78
    Kinnice  
       2022-11-08 16:01:52 +08:00
    ✅ 有罪推定
    ❎ 找出证据
    Andreas8
        79
    Andreas8  
       2022-11-08 16:15:21 +08:00
    还是 45 上车 office 家庭组吧,Linux 上可以利用 edge 跑网页版,体验还不错
    likunyan
        80
    likunyan  
       2022-11-08 16:17:21 +08:00
    v2exer 自己写一个吧
    ryansvn
        81
    ryansvn  
       2022-11-08 16:25:13 +08:00   ❤️ 1
    @ndxxx 世界上的*独)裁(者都是是如此的相像啊
    jworg
        82
    jworg  
       2022-11-08 16:26:57 +08:00
    @kokutou 你确定吗,windows 上那个 everything 是基于 ntfs 实现的,linux 上你找个主分区用 ntfs 的来再来说这话。不要名字相似就说是一个东西。
    jworg
        83
    jworg  
       2022-11-08 16:28:31 +08:00   ❤️ 3
    楼里认为这个 everything 是 windows 上那个的还不止一个,v2 现在水平都这样子吗。
    treizeor
        84
    treizeor  
       2022-11-08 16:37:37 +08:00
    为什么会有人认为实现一样的功能就要基于同样的文件系统
    aloxaf
        85
    aloxaf  
       2022-11-08 16:40:44 +08:00   ❤️ 8
    这种帖子吵不出结果的,因为
    有的网友是想调查事实的:这个进程究竟是啥,它具体干了什么,它能不能称之为后门
    有的网友纯粹是来输出情绪的:WPS 是个辣鸡公司,所以这一定是后门,如果没有查不出来,说明是隐藏得很深的后门
    yinzhili
        86
    yinzhili  
       2022-11-08 16:47:01 +08:00   ❤️ 2
    在这个网站上,国产是原罪
    si
        87
    si  
       2022-11-08 16:57:25 +08:00
    建议删除软件,继续使用软件相当于扩大软件使用群体,增加软件的市场占有率,属于为虎作伥行为。
    宣传如何如何在沙箱下使用,在性质上近似于金山的免费水军。🤣
    XiaoJSoft
        88
    XiaoJSoft  
       2022-11-08 17:09:57 +08:00   ❤️ 3
    刚刚试着逆了一下,样本是 Arm64 版本的 wps-office_11.1.0.11664_arm64.deb
    里面涉及的网络通信部分是 QLocalSocket ,看程序逻辑是做本地进程间通信用
    其余的部分基本就是一堆土味进程监控
    有一部分还没大看明白,这个进程也会访问 ~/.local/share/Kingsoft/Ksearch/ 这个目录里面的一些东西,具体逻辑暂时不明,不过看起来并不像是用来乱搞的东西
    yohole
        89
    yohole  
       2022-11-08 17:28:53 +08:00   ❤️ 2
    本来议事论事就好,偏要起这种带节奏的地图炮标题,点进来甚至实锤都没看到,这还叫别人正常交流,这不多不少有点那个
    bosskwei
        90
    bosskwei  
       2022-11-08 17:35:35 +08:00
    @ltkun Google Docs
    learningman
        91
    learningman  
       2022-11-08 17:44:14 +08:00   ❤️ 6
    楼主给哥们整笑了
    “访问了共享库,通过共享库可以随时拿到 root 权限,运行任意代码”
    动态链接的程序原来就算病毒了,这下到处都是病毒了。dynamic link 下就能拿 root 权限了,DARPA 都得请您出山。

    楼里一些什么都不会的小白搞阴谋论也是真的好笑,strcmp 符号都要批判下?你们这么怕监控,电脑上能不能常备 IDA 啊。
    chrawsl
        92
    chrawsl  
       2022-11-08 17:48:22 +08:00   ❤️ 4
    v2 特有的被害妄想症
    microxiaoxiao
        93
    microxiaoxiao  
       2022-11-08 17:51:12 +08:00
    op 张嘴就来呀,随便贴个图,链接一个动态库就获取 root 权限了,怎么得到这个结论的?乱带节奏就太过分。
    bao3
        94
    bao3  
       2022-11-08 17:59:28 +08:00
    WPS 是作过恶的,并且它不是只删除云端文件,而是连同本地端也给删除了。作恶却不受制裁,并不是文明社会追求的价值观。所以对它一切的行为保持批判是没有问题的。
    除非,你让它受到就有的制裁。你确定它悔过了。
    wslzy007
        95
    wslzy007  
       2022-11-08 18:03:32 +08:00   ❤️ 1
    @learningman
    我也差点没笑喷出来
    摆事实,讲道理,关键是要有实锤的事实,靠臆想带节奏,歇歇吧
    webcape233
        96
    webcape233  
       2022-11-08 18:04:49 +08:00 via iPhone
    还是拿出实证再说比较好
    WOLFRAZOR
        97
    WOLFRAZOR  
       2022-11-08 18:46:14 +08:00 via Android
    12 楼提到 DOS 版。
    好吧,我还是去用 Microsoft office 算了。(用过 DOS 版 WPS 和盘古)

    我周边人大多数依赖微软五件套(没法用 libreoffice ),我自己又不是很能忍受 Microsoft office 的占用空间,只得 WPS 。
    WOLFRAZOR
        98
    WOLFRAZOR  
       2022-11-08 18:47:37 +08:00 via Android
    14 楼提到了那个,嗯。可以这么说:欺负不懂 IT 行业的人。
    xrr2016
        99
    xrr2016  
       2022-11-08 18:50:08 +08:00
    来点事实证据吧,目前看水平太低了
    maichaide
        100
    maichaide  
    OP
       2022-11-08 18:50:51 +08:00
    @XiaoJSoft 我逆了下,还有两个被混淆的 connect ,还有一个 flag ,根据这个 flag 来决定下一步行为,另外有 send ,那个 ld.so.conf 本身是个敏感点,不少木马和挖矿的都选择从这里下手,参考: https://book.hacktricks.xyz/linux-hardening/privilege-escalation/ld.so.conf-example https://www.freebuf.com/column/162604.html
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5588 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 31ms · UTC 06:46 · PVG 14:46 · LAX 22:46 · JFK 01:46
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.