GoForum › 🌐 V2EX

此次 ApiFox 是否中招自查命令

JoeJoeJoe · 2026-03-27 09:04 · 0 次点赞 · 4 条回复

Mac:

grep -arlE "rl_mc|rl_headers" ~/Library/Application\ Support/apifox/Local\ Storage/leveldb

Windows:

Select-String -Path "$env:APPDATA\apifox\Local Storage\leveldb\*" -Pattern "rl_mc","rl_headers" -List | Select-Object Path

Linux:

grep -arlE "rl_mc|rl_headers" ~/.config/apifox/Local\ Storage/leveldb/

以上命令只要有输出记录, 则表明可能中招, 请务必更换清理敏感信息, 包括不限于: SSH 私钥、Git 凭证和命令行历史.

如果已经卸载掉了, 可以使用检查 dns 历史中是否存在 apifox.it.com 的解析记录来检查

Mac:

sudo dscacheutil -q host -a name apifox.it.com

Linux, Windows 请 V 友们补充.

为了防止后续这个域名再被激活, 以及有其他的后门程序, 可以在/etc/hosts 里将这个域名给阻断掉

127.0.0.1 apifox.it.com

以上, 是我在其他帖子或信息中总结的, Mac 端的命令验证好用, 其他端请 V 友验证.

4 条回复

liu731 · 2026-03-27 09:09

name: apifox.it.com ip_address: 198.18.9.132

中招了，不过已经换了 ssh key + 各种 export=ai key 。

mrhuhehe · 2026-03-27 09:19

Mac ，上面命令没输出但下面有解析记录，如何判断

JoeJoeJoe · 2026-03-27 09:24

@liu731 这次真的是涨见识了, 幸亏最近没用 apifox, 要不也得中招. 以后这种事肯定更多, 所以密钥啥的都得换个方式存储了

@mrhuhehe 如果不是你主动访问的 apifox[.]it[.]com, 那就说明你下了投毒之后的 js 文件了, 没扫出文件来可能是还没来得及干活? 等个 V 友解释一下, 以上是我猜测的.

suitts · 2026-03-27 09:24

@liu731 你这是 fake ip 吧

添加回复

你还需要登录后发表回复

登录后可发帖和回复

登录注册

主题信息

作者: JoeJoeJoe

发布: 2026-03-27

点赞: 0

回复: 0