软路由被植入后门，求助

duidui

应该不是Clash的原因。可以给netstat加个-p参数，看是哪些进程访问的443，如果都是Clash，应该可以排除是软路由本身的问题。另外，可以看看局域网内哪些IP和软路由的连接的Clash连接数异常的多，感觉可能是局域网内其他设备的问题。

2063952

CodeColor 发表于 2021-9-15 15:28
统一说下怎么发现的吧。

最早在2020年出开始用的OpenWrt，一开始也是自己编译的固件，用违禁软件 plus， ...

那就别用OpenClash了，用plus吧

尐ˊ;栤嚸┌.

duidui 发表于 2021-9-15 16:37
应该不是Clash的原因。可以给netstat加个-p参数，看是哪些进程访问的443，如果都是Clash，应该可以排除是软 ...

思考了   希望可以确定是哪个插件的问题

spring1

关注一下，也是不放心，一直用自己编译的固件，不过一直用55R+

jihesong

adguardhome把客户端设置弄好，能看到局域网里每个IP情况，openwrt应该不能把路由的全部事情全部接管，之前我买的定制版本路由R3G就能把自己DNS给定制到别的地方去，或许主控芯片的ROM还有些程序在起作用，openwrt只存在于flash里面。

我当时怀疑过局域网里的每一个设备，NAS、手机、ipad、电脑、路由本身，非常恼火，通过adguardhome能看到每个IP的用过的域名，很不错。

不过，adguardhome把“客户端设置”弄好后，还要去防火墙的自定义规则里面改转向的端口，擅自该防火墙导致TLS通道不好用，一般上网没问题，不知道有没别的更好的设置方法。
看到有的视频设置好adh可以关了防火墙。

fairy

不一定和代理有关系，可能没有代理他们也在访问，只是因为qiang的原因访问不成功
还是先排查内网设备有没有被挂什么东西吧

dyboxoo

为普及的clash是伪开源，我听sugar大佬说的

南兄

这个有点吓人,自己编译都有后门,我们用现成的那岂不是更可怕了

CodeColor

问题解决得差不多了，再次解释一下。

我是在路由器上拨号的，Clash会默认开启http代理端口，开放在公网上。

可能被人扫描到了，连接上来做DDOS攻击，导致大量异常流量，同时还有拿来发邮件的，导致服务器因为滥发邮件被暂停。

后面防火墙禁止这几个端口入站，就好了。

openclash里没有描述过这几个端口会对公网开放，我一直不知道，就这么开放了1年多。

yangkecapf

为了回帖特别登录，我是去年底和今年8月左右用过Clash for mac的客户端，刚开始用得都很好，突然有一天发现Clash有大量的上传流量把Clash关了就好了。开启Clash会经常连接到江苏的某个ip，这个地址相对来说比较固定，那次后直接把mac抹盘重装了。 今年8月看到Clash的新版本界面很漂亮加上平时都是用的原生加速软件加命令行,没忍住又下载用起。 不出所料又走了第一次的老路，这次同样也是有连接到江苏的某地的ip。 现在以后我都不会用Clash了，我可以很肯定的告诉你Clash for mac是有后门的，Clash的其他版本有没有问题不好说，因为我没用过。 反正小心点为好，我下载的地址都是从github 上的。
图中我还是不放了，这个IP地址是：218.92.0.200 江苏省连云港市 电信

ywj8510

确实感觉有问题，我也是刚开没事，过一会连接器数就会越来越高，cpu就50多，直到100，重启一下class就好一会一直不知道具体什么问题

nickcart

可能是你的插件太多了吧

js001

今天改成旁路由模式，CLASH也发现这个问题。原来用单臂路由却好像没发现，还是隐藏的比较好呢？？有点吓人了。

allwonder

固件功能截图如下，请自行刷入体验

cxok

allwonder 发表于 2021-11-18 22:55
固件功能截图如下，请自行刷入体验

固件功能图在哪呢？？？