本周五 Red Hat 警告用户在最新版本的 xz-utils 数据压缩工具和库中发现了一个后门。程序在 5.6.0 和 5.6.1 版本中引入了恶意代码。这些恶意代码旨在允许未经授权的访问，而且这些受影响的版本已经被多个 Linux 发行版合并，但 RHEL 不受此影响。Red Hat 目前正在跟踪此供应链安全问题，编号为 CVE-2024-3094 (https://nvd.nist.gov/vuln/detail/CVE-2024-3094) ，严重性评分为 10/10 。

xz 是被 Linux 发行版广泛使用的压缩格式之一， xz-utils (LZMA-utils)是一个开源项目，2022 年起有个名为 Jia Tan 的账号开始向该项目贡献代码，然后逐步接手该项目成为项目的主要贡献者，也是该项目当前唯一的活跃贡献者。恶意代码经过混淆，只能在完整的下载包中找到，而无法在 Git 发行版中找到，因为缺少触发后门构建过程的 M4 宏。该恶意代码会修改系统中的 OpenSSH ，使攻击者可以使用精心构造的数据跳过 RSA 密钥检验，在未授权情况下授予攻击者不受限制的访问权限。

目前看这个后门仅影响部分 Debian/Ubuntu/Fedora/openSUSE 的预发布版本，且均已发布回退更新。

用 ArchLinux / macOS / 追新系统版本 的可能需要关注下

有一个 Linux 系统级别的漏洞已公布，该漏洞可让攻击者无需通过 SSH 验证即可登录服务器执行任意代码

Debian/Ubuntu 的检查命令:
apt list --installed 2>&1 | grep xz | grep -E '5.6.0|5.6.1' && echo "Check your system now" || echo "Everything is ok"

macOS 的检查命令:
brew info xz | grep xz | grep -E '5.6.0|5.6.1' && echo 'Check your system now' || echo 'Everything is ok'

• 显示 Everything is ok 即不受影响

如何修复:
降级 xz-utils 即可

macOS 修复:
brew install xz

相关链接:
https://avd.aliyun.com/detail?id=AVD-2024-3094 (中文)
https://nvd.nist.gov/vuln/detail/CVE-2024-3094
https://www.helpnetsecurity.com/2024/03/29/cve-2024-3094-linux-backdoor/

本文章转载自https://hostloc.com/thread-1289983-1-1.html

{alert type="info"}
为了方便部署，因此将原项目github.com/ddgth/cf2dns做成了宝塔插件。
功能上主要用于将CloudFlare CloudFront Gcore优选IP地址解析到您的域名记录中。
{/alert}

准备事项

{alert type="info"}
使用本教程前请先查看文章 CloudFlare SAAS(cname) 接入网站域名 使用SAAS功能接入后再查看本教程操作。
{/alert}
{callout color="#ff0000"}
域名
{/callout}
{card-describe title="描述"}
请将您的域名ns服务商修改更换为，腾讯云、阿里云、华为云国内版。
可以使用非网站域名使用cname方式，提供服务。
{/card-describe}
{callout color="#ff0000"}
宝塔Linux面板
{/callout}
{card-describe title="描述"}
需要一台安装了宝塔Linux面板的服务器用来安装插件。
{/card-describe}

项目地址

https://github.com/gacjie/cf2dns/

下载插件

https://github.com/gacjie/cf2dns/releases/latest

注意事项

{alert type="info"}
插件安装时请关闭宝塔系统加固插件，会终止安装脚本的执行。
插件只会更新电信、移动、联通三网线路的IP，因此还需要将回退源设置到默认线路上。
使用插件前请确保您的网站域名使用cname或saas方式接入，并且域名解析在dnspod、华为云、阿里云。
{/alert}

安装插件

配置DNS接口信息

{card-describe title="描述"}
IPV6&IPV4：同时开启IPV6&IPV4支持将会请求2次接口消耗双倍积分。
腾讯云密钥获取 https://console.cloud.tencent.com/cam/capi
阿里云密钥获取 https://help.aliyun.com/document_detail/53045.html?spm=a2c4g.11186623.2.11.2c6a2fbdh13O53 注意需要添加DNS控制权限 AliyunDNSFullAccess
华为云后台获取 https://support.huaweicloud.com/devg-apisign/api-sign-provide-aksk.html
解析数量：这个是每个线路解析的IP，更移动联通电信三条线路。DNSPOD免费版只支持单线路2个IP，华为阿里可以设置5个
{/card-describe}

国际版配置

{card-describe title="描述"}
由于我没有国际版账户，因此没法开发测试，已知阿里云华为云可以把地域改为账号所在地域即可使用国际版账号。
华为云可用地区区域代码
https://developer.huaweicloud.com/endpoint?DNS
阿里云可用地区区域代码
https://help.aliyun.com/document_detail/2355662.html?spm=a2c4g.2355663.0.0.6a5e1e84twtIER
{/card-describe}

网站域名

{card-describe title="描述"}
默认的域名为示例域名，请自行删除。
域名必须提前添加接入到您使用的NS解析服务商。
{/card-describe}

配置IP数据服务商

{card-describe title="描述"}
CDN服务商：GacJieMonitor数据接口支持CloudFlare、CloudFront、Gcore。HostMonit只支持CloudFlare。
数据服务商：GacJieMonitor(monitor.gacjie.cn)，HostMonit(hostmonit.com)。
KEY：KEY字段为数据接口的授权KEY，默认o1zrmHAF为免费KEY可永久免费使用。
GacJieMonitor付费KEY购买请加Q群699927761联系群主，以获得独享优选IP。
积分：保存时自动从接口获取积分余额数据。
{/card-describe}

设置计划任务

{card-describe title="描述"}
插件不会自动配置计划任务
请配置好插件设置以及需要更新的域名后自行手动添加到宝塔计划任务中
脚本命令：btpython /www/server/panel/plugin/cf2dns/cf2dns.py
请设置15分钟以上的执行频率
配置好计划任务后，请执行一次查看日志是否运行正常。
{/card-describe}

由于CloudFlare官方IP是泛播路由，意味着同一个IP在不同地区不同运营商所链接的机房是不同的。
因此公共优选域名并不适合非网站用途，如果需要建议使用CloudflareSpeedTest项目自行测试本地最优的IP地址。

准备事项

使用本教程前请先查看文章 CloudFlare SAAS(cname) 接入网站域名 使用SAAS功能接入后再查看本教程操作。

挑选域名

由于CNAME地址会有被污染、域名所有者不维护等情况，为了方便更新，该列表会单独一个页面展示。本文章将使用cloudflare.182682.xyz域名来做示例优选域名。
1.CloudFlare公共优选Cname域名列表
CloudFlare公共优选Cname域名地址
2.炸了吗HTTP网站测速工具
炸了吗HTTP网站测速工具
3.使用工具测试优选域名在您网站的速度

4.建议说明
1.挑选时不要只看小地图，应该根据平均访问速度，最大访问速度，失败节点数等综合判断。
2.因为有些非官方的优选IP不支持80或者443端口。
因此测试时建议对http、https链接单独测试。
3.如果您的网站并发过低建议使用慢速监测。
快速测试：模拟用户同时访问指定网站
慢速监测：模拟用户依次访问指定网站

解析域名

通过SAAS验证后，可直接替换回退源为优选域名，但出于风险考虑我比较建议分线路解析。
1.国外线路解析到回退源域名是为了避免CF增加监测系统，自动删除已添加的网站域名。
2.优选域名一般都会只优选国内线路，因此国外线路大概率没有进行优选。
3.默认回退源域名一般情况下，国外访问最近策略，会比自定义IP效果要好。
【可选】将优选域名解析到国内线路上

补充截图用于校验设置

【可选】将搜索引擎线路设置为源站或者其他IP
在loc有用户反馈，公共cname可能会将搜索引擎蜘蛛线路解析到其他服务器来劫持蜘蛛。
因此我们可以自定义搜索引擎线路来避免这种情况的发生，需要说明不是所有DNS支持设置搜索引擎线路。

资源缓存功能是CDN核心功能，也是加速的关键。
网上经常说CDN可以网站加速、节约带宽等优点，大部分都是建立在缓存上面。
但由于每个网站的情况不同，并不是所有网站都适合缓存，因此缓存规则仅供参考，还需要自行修改编写属于自己网站的缓存规则。

功能详解

我们在不使用CDN时，网络链路应该是这样的。
用户浏览器 --链接-- 源站服务器 --返回-- 用户浏览器
使用CDN不缓存时的网络链路
用户浏览器 --链接-- CDN边缘节点 --链接-- 源站服务器 --返回-- CDN边缘节点 --返回-- 用户浏览器
所以CDN不缓存时，网站是否加速取决于您的源站线路有多差劲。
使用CDN缓存时的网络链路
第一次访问：用户浏览器 --链接-- CDN边缘节点 --链接-- 源站服务器 --返回-- CDN边缘节点（此时会缓存资源到节点） --返回-- 用户浏览器
第二次访问：用户浏览器 --链接-- CDN边缘节点（输出缓存） --返回-- 用户浏览器
可以看到缓存后因为不必回源，因此用户请求CDN节点后，直接返回了网页，这样减少了回源的这段时间。

默认缓存

CloudFlare默认会缓存2小时以下资源，因此这些资源并不需要手动配置缓存。
.7z .csv .GIF .MIDI .PNG .TIF .ZIP
.AVI .DOC .GZ .MKV .PPT .TIFF .ZST
.AVIF .DOCX .ICO .MP3 .PPTX .TTF
.APK .DMG .ISO .MP4 .PS .WEBM
.BIN .EJS .JAR .OGG .RAR .WEBP
.BMP .EOT .JPG .OTF .SVG .WOFF
.BZ2 .EPS .JPEG .PDF .SVGZ .WOFF2
.CLASS .EXE .JS .PICT .SWF .XLS
.CSS .FLAC .MID .PLS .TAR.XLSX

缓存首页以及html页面

指定域名全站缓存(适合下载站图片站)

设置缓存时间

建议：
浏览器TTL不要设置太长时间，否则网站更新后浏览器缓存更新不及时会带来很多问题。
边缘TTL可随意设置，如果设置的时间比较长，别忘记到cf控制台清理缓存。

检查资源是否命中缓存

可以访问指定页面-右键-审核元素，打开调试控制台。HIT状态为缓存命中，如果是其他的可自行翻译。

{alert type="info"}
CloudFlare SAAS，简单来说是为了给自助建站类似的网站，而提供的用户自定义域名接入的功能。
比如您做一个系统，可以给用户开通分站等功能，您希望通过api的方式将您的用户自己的域名解析到CloudFlare当中，而不是直接解析到源站。
考虑到本文章是为了让大家使用自选IP,因此在思路上将不会以上述分站的逻辑来解释说明。
{/alert}

准备事项

{callout color="#ff0000"}
CloudFlare账户
{/callout}

{card-describe title="描述"}
注册不难就不说了。不过需要贝宝以及海外银行卡认证来开通CloudFlare SAAS（自定义主机名）功能。
{/card-describe}

{callout color="#ff0000"}
网站域名
{/callout}
{card-describe title="描述"}
用于建站并使用自选IP的域名，并且该域名的DNS解析服务器不能使用CloudFlare，因为严格来讲CloudFlare是支持DNS解析的CDN服务，您使用该DNS解析会造成CDN配置冲突。
请注意如果你使用www或者@主机名做站，您应该理解为这是两个网站域名，如www.youname.com、youname.com。
文章示例中会使用web.baota.me，域名在华为云解析。
{/card-describe}

{callout color="#ff0000"}
回源域名
{/callout}
{card-describe title="描述"}
该域名NS将被CloudFlare接管，因此无法用于自选IP等用途。
如果您要接入的网站域名较多，请尽可能的选择长久使用的域名，而不是年抛域名。
不然年抛域名到期后需要耗费很多时间用来迁移域名。
可以使用一些免费域名如eu.org，或其他比较低价的域名如.free.hr、6位数字.xyz，需要注意不是所有二级域名都支持ns接入到CloudFlare的。可以在下面文章中查看并获取其他后缀的域名。
CloudFlare可NS方式接入的免费、低价域名
本文章将使用在dash.gacjie.cn注册的baota.free.hr域名。
{/card-describe}

回源域名NS接入到CloudFlare

{message type="info" content="如果您的回源域名已经NS添加到CloudFlare，此步可以跳过。"/}

{callout color="#ff0000"}
1.将回源域名(baota.free.hr)添加到CloudFlare,应该不难就不一步一步的写了。
{/callout}
{callout color="#ff0000"}
2.复制ns服务器信息
{/callout}

{callout color="#ff0000"}
3.1.将CF提供的ns服务器信息更新到域名那边
{/callout}

{callout color="#ff0000"}
3.2.如果你没有域名也可以直接注册
{/callout}

{card-describe title="描述"}
该域名NS将被CloudFlare接管，因此无法用于自选IP等用途。
CloudFlare可NS方式接入的免费、低价域名
{/card-describe}

网站域名的顶级域名解析到非CF的DNS域名解析系统

{alert type="info"}
这里就不详细说明了，更换ns服务器跟回源域名NS接入到CloudFlare差不多。
{/alert}

回源域名创建回退源地址

{card-describe title="描述"}
source可以是@也可以是任意的子域名前缀，但我比较建议使用子域名创建。
111.111.111.111是你的网站源服务器，您可以改为您的源站IP地址。
代理状态(小云朵),请务必开启，如果关闭您后续添加在自定义主机名里面的网站域名将全部回源。
{/card-describe}

自定义主机名添加回退源地址

{card-describe title="描述"}
source.baota.free.hr是上一步创建的回退源地址，请改为您创建的域名。
{/card-describe}

自定义主机名添加网站域名

{callout color="#ff0000"}
1.确保回退源已经生效，然后点击右上角的添加自定义主机名。
{/callout}

{callout color="#ff0000"}
2.填写您的网站域名，这里的web.baota.me是示例域名，您可能要添加www.youname.com、youname.com或者其他的二级域名。
{/callout}

{callout color="#ff0000"}
3.复制自定义主机名的 DCV 委派提供的信息用来下一步的域名验证。
{/callout}

{callout color="#ff0000"}
4.到您的网站域名NS解析服务商，添加DCV 委派验证记录。
{/callout}

{card-describe title="描述"}
演示截图配置的网站为web.baota.me。
主机名为_acme-challenge.web值为web.baota.me.9cf4d41f99889e0c.dcv.cloudflare.com
如果配置的网站为baota.me。
主机名为_acme-challenge值为baota.me.9cf4d41f99889e0c.dcv.cloudflare.com
如果配置的网站为www.baota.me。
主机名为_acme-challenge.www值为www.baota.me.9cf4d41f99889e0c.dcv.cloudflare.com
上述仅用于演示，请自行替换为自己的dcv信息。
{/card-describe}
{callout color="#ff0000"}
5.添加网站域名的解析记录指向回退源
{/callout}

{callout color="#ff0000"}
6.使用ITDOG访问一次网站域名
{/callout}

{card-describe title="描述"}
主机名一共有两种验证方式
预验证：即txt或者http验证方式，但需要等待一段时间的Cloudflare官方扫描。
实时验证：即将主机名正确的cname到回退源地址。
本教程使用实时验证方式。为了加快验证，因此用测速工具来完成正常解析请求。
{/card-describe}
{callout color="#ff0000"}
7.正常情况下，刷新一下CloudFlare自定义主机名页面，应该已经完成验证了，如果没有可能要等待一段时间，或者需要检查上述配置是否出错。
{/callout}

{callout color="#ff0000"}
8.补一张图用于解析配置检查
{/callout}

{card-describe title="描述"}
解析配置检查图片里面主机名带baota.me是华为云解析系统自动添加的，使用其他解析的时候需要注意。
{/card-describe}

本文章提供的域名收集网络分享过的域名。
因为公共cname可能会被污染，正常的网站域名不会收集。
由于CloudFlare官方IP是泛播路由，不同线路乃至地区访问，所连接的机房会不同。
因此非正经网站用途的朋友，自行使用CloudflareSpeedTest项目优选本地最快的IP。
部分第三方IP的优选域名，因为443或者80不通，不适合做站因此并未收录。

选择建议

CloudFlare每隔一段时间会调整变更路由线路。
因此请尽可能的选择更新频率高的cname域名。

风险说明

在loc有用户反馈，公共cname可能会将搜索引擎蜘蛛线路解析到其他服务器来劫持蜘蛛。
1.如果您的DNS支持，建议将搜索引擎线路，修改为您的网站源站或者其他IP地址。
2.使用宝塔cf2dns插件更新CloudFlare优选IP，只会更新移动联通电信三网线路。

域名列表 【优选cname域名使用教程】

.free.hr .eu.org等这类本质为二级域名，移动运营商会不定期全国屏蔽。
因此不建议使用该类域名搭建网站等对外服务。
目前只建议NS接入到CloudFlare开通SAAS，为其他网站域名提供cname方式接入到CloudFlare的用途。
如果不嫌麻烦也可以去hostinger.com等海外域名注册商上面撸0.99美元首年顶级域。
这里尽量收集注册、续费都比较便宜可长期使用的域名。

选择建议

SAAS内添加域名比较多，迁移域名会比较麻烦，尽可能使用长期可用的域名。
建议优先选择注册.eu.org 、.nom.za但这俩域名通常审核时间很长
可以选择年付注册.free.hr、6-9位数字.xyz等上述免费域名审核通过后，切换过去。
其他域名注册、支付条件比较苛刻，价格也并不划算，不建议浪费太多时间在上面。
由于汇率支付工具额外扣费等原因，以下海外币种换算RMB仅用于参考，实际支付时因为各种原因支付的价格会更贵。

域名列表

可视化的日志查询分析系统，多主机日志汇总、存储，海量数据快速查询，
同时具备网站统计数据的可视化分析，拥有高度可扩展性，是运维和运营人员的好帮手。

演示图片

安装方法

使用 SSH 连接工具，如 堡塔SSH终端 连接到您的 Linux 服务器后，根据系统执行相应命令开始安装（大约2分钟完成面板安装）
注意：推荐使用Chrome、火狐、edge浏览器，国产浏览器（极速模式）

安装命令

URL=https://download.bt.cn/cloudwaf/scripts/install_cloudwaf.sh && if [ -f /usr/bin/curl ];then curl -sSO "$URL" ;else wget -O install_cloudwaf.sh "$URL";fi;bash install_cloudwaf.sh

基于宝塔面板10年行业积累，打造的免费私有云WAF防火墙，有效拦截sql注入、xss、一句话木马、防采集等常见渗透攻击，为您的业务网站保驾护航。

演示图片

安装方法

使用 SSH 连接工具，如 堡塔SSH终端 连接到您的 Linux 服务器后，根据系统执行相应命令开始安装（大约2分钟完成面板安装）
注意：推荐使用Chrome、火狐、edge浏览器，国产浏览器（极速模式）

安装命令

URL=https://download.bt.cn/cloudwaf/scripts/install_cloudwaf.sh && if [ -f /usr/bin/curl ];then curl -sSO "$URL" ;else wget -O install_cloudwaf.sh "$URL";fi;bash install_cloudwaf.sh

梦奈宝塔主机系统简称MNBT，是专门为用户提供的单个或者多个宝塔面板转主机进行销售并且管理的系统！一直以开源 免费 好用 持久更新等深得用户的肯定和信赖

演示

官网

梦奈云 免费宝塔主机系统源码提供商