V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
bigbyto
V2EX  ›  程序员

clash 信息安全提醒,请勿把 clash 暴露在公网环境

  •  2
     
  •   bigbyto ·
    xingty · 2023-06-08 15:25:27 +08:00 · 11168 次点击
    这是一个创建于 535 天前的主题,其中的信息可能已经有所发展或是发生改变。

    好像有非常多人把 clash 暴露在公网,且没有设置鉴权,导致这些可以被爬虫索引。比如: https://fofa.info/result?qbase64=Ym9keT0ie1wiaGVsbG9cIjpcImNsYXNoXCJ9Ig%3D%3D

    随便点开一个,不用鉴权即可访问,通过 clash 本身的 api ,能获取到节点的一些信息,更要命的是能通过 api 获取到你当前访问的网站内容,请各位注意。

    https://s1.ax1x.com/2023/06/08/pCkRhzd.png

    33 条回复    2023-06-09 13:28:53 +08:00
    goodryb
        1
    goodryb  
       2023-06-08 15:33:35 +08:00
    偶尔看到有被刷流量的,就是这种吧
    xuelang
        2
    xuelang  
       2023-06-08 15:50:17 +08:00
    不开局域网共享 就不会暴露的吧
    AoEiuV020JP
        3
    AoEiuV020JP  
       2023-06-08 15:50:21 +08:00
    啊这,刚知道 clash 这个 api 后台居然是可以不设置密码的,
    d873139022
        4
    d873139022  
       2023-06-08 15:55:42 +08:00
    这个应该订阅链接不会泄露吧
    FaiChou
        5
    FaiChou  
       2023-06-08 15:57:18 +08:00   ❤️ 1
    换端口 加密码:
    external-controller: :9938
    secret: pa$$wd
    cxxlxx
        6
    cxxlxx  
       2023-06-08 15:57:44 +08:00
    应该看不到具体的节点信息吧,
    MrKrabs
        7
    MrKrabs  
       2023-06-08 16:03:30 +08:00
    external-controller: 10.0.0.11:7777
    bind-address: 10.0.0.11
    lieyan
        8
    lieyan  
       2023-06-08 16:05:23 +08:00
    看了一下 clash 的 restful api ,顶多泄露日志信息和配置信息,但是不会泄露具体的订阅信息和节点信息,但是可以通关 api 修改相关配置
    yll
        9
    yll  
       2023-06-08 16:05:55 +08:00
    阿这
    yll
        10
    yll  
       2023-06-08 16:06:22 +08:00
    @lieyan 所以说是不是没事儿奥,老哥
    estk
        11
    estk  
       2023-06-08 16:07:31 +08:00
    家宽不开公网的话,没这个问题吧
    ky1e
        12
    ky1e  
       2023-06-08 16:08:12 +08:00
    别暴露在公网就可以了。
    garipan
        13
    garipan  
       2023-06-08 16:08:52 +08:00
    最新版已经修复这个 bug 了
    其实就是一个远程执行漏洞
    7 楼说的在配置文件里修改端口就可以避免这一问题。
    FaiChou
        14
    FaiChou  
       2023-06-08 16:11:19 +08:00
    @cxxlxx
    @d873139022
    @lieyan
    clash REST api 支持 CORS 所以就有问题了。因为你可以通过 yacd 来控制你的 clash, 比如增加一个 proxy-provider( fetch(':9091', {method: 'PUT', body: {一段恶意程序}} 这样恶意程序可以下载到电脑的任意位置(路径穿越漏洞)

    参考:
    https://github.com/Fndroid/clash_for_windows_pkg/issues/3891
    https://hostloc.com/thread-1176031-1-1.html
    mdn
        15
    mdn  
       2023-06-08 16:19:47 +08:00
    修改端口没有用,页面上的搜索结果全是扫描出来的
    @garipan
    1. 不暴露在公网
    2. 加密钥
    blankmiss
        16
    blankmiss  
       2023-06-08 16:23:09 +08:00
    @estk 开了公网也没事 除非在路由器端口转发 映射出去了
    estk
        17
    estk  
       2023-06-08 16:44:08 +08:00
    @blankmiss #16
    感觉中招的都是服务器运行 clash ,并且开了 9090 端口
    wheat0r
        18
    wheat0r  
       2023-06-08 16:47:52 +08:00
    可能是没开 IPv6 防火墙
    mohumohu
        19
    mohumohu  
       2023-06-08 16:51:47 +08:00
    看了下接口,最多泄露节点的昵称,不会泄露节点信息。不过流量运行日志是可以看到连接情况。
    Jirajine
        20
    Jirajine  
       2023-06-08 17:02:18 +08:00   ❤️ 6
    clash 一系的安全性本来就差,设计之初就不注重安全,大量的配置都是默认不安全的,像什么 dns 分流、默认 fallback 等等。你搜“clash dns 泄漏”结果一大堆,基本都是小白不懂配置由默认行为导致的。相关问题的 issues 都被直接关闭,甚至有些加强安全性的 pr 也不合。
    还有什么闭源版本、闭源的 gui 。闭源软件没问题,但无法商业化的程序闭源意味着什么我就不说了。
    在乎安全性的用户绝不建议使用 clash 及其周边的所有产品。
    kingnopwang
        21
    kingnopwang  
       2023-06-08 17:07:54 +08:00
    @Jirajine 麻烦问下有没有相较于 Clash 安全性更有保障的产品推荐呢? Windows 和 OpenWRT 上使用的
    superchijinpeng
        22
    superchijinpeng  
       2023-06-08 17:12:02 +08:00
    @Jirajine 求推荐
    leo97
        23
    leo97  
       2023-06-08 17:13:49 +08:00 via Android
    idealhs
        24
    idealhs  
       2023-06-08 17:16:04 +08:00
    Clash 有开源的 Meta 内核的
    ZeroDu
        25
    ZeroDu  
       2023-06-08 17:18:01 +08:00
    @yll #10
    @lieyan #8
    有问题,还是大问题。
    看油管这个视频 watch?v=4AnapDDMlyI
    Jirajine
        26
    Jirajine  
       2023-06-08 18:35:06 +08:00
    @kingnopwang @superchijinpeng @leo97
    要安全性的首先就是在 you know what you're doing 的前提下自己手动编写配置文件,确保程序的行为都是你已知且可控的。
    服务器 /路由器建议直接用协议原版的程序,自己手写配置文件 /模板,或者自己写脚本更新订阅并转换格式,现在有 chatgpt 这件事方便多了。
    客户端使用协议原版程序作为内核的话可以自己 review 一下 gui 生成的配置,不符合预期的改软件设置。
    GrayXu
        27
    GrayXu  
       2023-06-08 18:37:42 +08:00
    9091 端口有密码的。。
    adoal
        28
    adoal  
       2023-06-08 18:50:29 +08:00
    把 MongoDB 放在公网上且没啥保护措施的人大把大把
    bxqqq
        29
    bxqqq  
       2023-06-08 18:57:27 +08:00
    @Jirajine #20 老哥有什么推荐吗?
    danbai
        30
    danbai  
       2023-06-08 19:12:45 +08:00 via Android
    @mohumohu 你试试加 /proxies
    danbai
        31
    danbai  
       2023-06-08 19:13:35 +08:00 via Android
    @danbai 好吧没有具体信息
    DemoJameson
        32
    DemoJameson  
       2023-06-09 11:27:11 +08:00
    @idealhs 你是不是搞混了 cfw 和 clash
    idealhs
        33
    idealhs  
       2023-06-09 13:28:53 +08:00   ❤️ 1
    @DemoJameson 我觉得你才是两个都搞不清楚的人。cfw 作为一个 GUI 本身从未提供过对 meta 内核的原生支持,而 clash 也有非常多的实现。原始的 clash go 版本实现从来都是开源的,而作者被诟病的原因则是提供了不开源的 premium 内核拥有更多功能,meta 则是在开源的前提下又实现了 premium 内核的功能。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1074 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 18:32 · PVG 02:32 · LAX 10:32 · JFK 13:32
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.