CMLiussss 技术干货分享

NGINX 再曝高危漏洞：特殊Rewrite规则可被利用造成远程代码执行 NGINX 近日被披露存在高危漏洞“NGINX Rift”，漏洞编号为 CVE-2026-42945。受影响的主要是使用特定 rewrite 跳转规则的 NGINX 服务，尤其是公网暴露的反向代理、API 网关、Ingress 入口等场景。该漏洞可能导致 NGINX 工作进程异常崩溃，在特定环境下还可能被进一步利用，造成远程代码执行风险。 该漏洞源于 NGINX 在处理特殊跳转规则时，对请求内容长度的计算和实际写入结果不一致，攻击者可通过构造恶意请求触发内存破坏。虽然并非所有 NGINX 配置都会受到影响，但如果业务中存在复杂的 URL 跳转、接口转发或历史 API 迁移规则，需要重点排查相关配置。 建议受影响用户尽快升级至官方修复版本，如 NGINX 1.30.1 / 1.31.0 及以上版本。若短期内无法升级，应立即排查并调整高风险 rewrite 配置，限制公网访问入口，避免将反向代理、管理入口或测试环境直接暴露在外网。同时应保持系统安全防护机制开启，不建议关闭 ASLR 等基础安全配置。（感谢 LoopDNS 提供的专业分析） [消息等级 Level C2 · 简要]

Nicnames | 免费顶级域名，支持自定义 NS 可以 Cloudflare 托管 可同时注册两个不同后缀 目前官方在 Discord Doma Protocol 社区发放 首年 100% 免费 的优惠福利，可以 0 元购 .bond、.cyou 等顶级后缀！ 详细白嫖步骤： 第一步：注册 Nicnames 账号 打开官网：https://nicnames.com/en/login 直接输入邮箱和密码即可快速注册，流程极简。 第二步：加入 Discord 并完成身份验证 1. 点击加入官方群组：https://discord.gg/doma 2. 进入后查看 Welcome 提示（Welcome to Doma Protocol!），点击消息下方的 doma 表情符号完成验证，即可解锁服务器的所有频道权限。 第三步：领取代金券/优惠码（重点） 1. 验证通过后，在左侧频道列表找到 Partner Promos 类别下的 #nicnames-promos 频道。 2. 在频道聊天框输入斜杠命令 /promos 唤出机器人 (NicNames Bot)。 3. 机器人会向你的注册邮箱发送一个 6 位数的 OTP 验证码，输入验证。 4. 验证后会弹出一个下拉菜单，选择你需要的福利（例如勾选 .BOND Domain Registration - 100% off for 1st year 或 .CYOU）。 5. 获取成功后，机器人会提示 Promo Activated Successfully!，并给你一串 Coupon ID，复制这串优惠码。 第四步：免费注册域名 回到 Nicnames 平台，搜索你心仪的 .bond 或 .cyou 域名，在结算页面输入刚才复制的 Coupon ID（优惠码），即可首年 0 元免费拿下！ 可用后缀： bond ，cyou Nicnames 注册页-点击前往 官方 Discord 群组-点击加入 视频教程-点击前往 图文教程-点击前往 #薅羊毛#域名#白嫖#Cloudflare#Nicnames 频道 ｜ 聊天

⚠️【重要通知｜DoH 镜像服务调整】 由于此前提供的 DoH 镜像服务 已被 GFW 阻断，后续将 不再维护该 DoH 镜像服务。 📌 后续计划： 之后会发布教程，教大家如何 自建专属 DoH 服务，用于个人自用。 ━━━━━━━━━━━━━━ 🚨【影响范围】 如果你在 edgetunnel2 项目 中 启用 ECH 并使用了以下 DoH 作为： EchConfig DNS 服务 那么可能会导致节点无法连接。 受影响的 DoH 服务如下： - https://doh.cmliussss.net/CMLiussss - https://doh.cmliussss.com/CMLiussss ━━━━━━━━━━━━━━ ✔️【解决方法】 请将上述 DoH 服务更换为其他可用的 DNS 解析服务。 🥇 不要使用以上两个 DoH 服务 🥈 换成其他可正常访问的 DNS 服务 🥉 更换后更新订阅即可恢复连接 ━━━━━━━━━━━━━━ 📣建议正在使用 edgetunnel2 ECH服务 或使用该 DoH 的用户尽快检查更新配置，避免因 DoH 不可用导致连接失败。

风闻消息：中国联通、移动、电信运营商对海外方向均报告网络故障 大量用户在社交媒体中表示，目前中国三大运营商对于海外方向连接情况出现明显异常。 中国电信联通往香港、日本方向的回程路由受到明显影响，包括 CN2、9929 在内的高级路由以及 163、4837 标准路由均受到此影响，用户报告出现大范围丢包与连接中断现象。亦有少量用户报告，往美国方向路由也被干扰，但是样本量低且集中在部分服务商。 同时，中国移动手机流量往海外方向出现严重丢包、链接被中断现象，大量用户表示此问题严重影响使用，尤其集中在北京移动用户报告。 目前尚不可知是突发国际路由故障还是运营商主动调整策略，我们期待大家在评论区讨论您所在地区运营商是否遇到此类问题（请注意隐私保护）。 Via 群友 🌸在花频道｜茶馆讨论｜投稿通道

全国网络法治工作会议召开，中央网信办部署推进重点网络立法，拓展涉外网络法治建设 中央网信办 4 月 8 日在北京召开全国网络法治工作会议，部署当前和今后一段时期网络法治工作，提出推进重点网络立法、加强党内法规建设、拓展涉外网络法治建设，持续完善网络法律规范体系，并强化重点领域网络执法、完善司法治理规则、加强网络犯罪司法惩戒和网信领域法治政府建设。重点从统筹协调、重点网络立法、网络执法、网络司法、网络普法和依法行政等方面提升网络法治工作整体效能。会议提出，2026 年是中国共产党成立 105 周年，也是“十五五”开局之年，网络法治对网信事业发展的基础性、保障性作用更加凸显。 会议同时通报了 2025 年网络法治工作情况、网络法治宣传成绩突出的单位和个人，以及全国网信部门网络执法十佳案例。北京、辽宁、上海、河南、新疆、深圳网信办负责人作交流发言，中央和国家机关有关部门及各地网信办负责人参会。 网信中国 🌸在花频道｜茶馆讨论｜投稿通道

Nekogram 12.5.2 被曝存在后门，静默窃取用户手机号 安全研究人员发现第三方 Telegram 客户端 Nekogram 12.5.2（Google Play 版）内置后门代码，会在用户不知情的情况下收集所有已登录账号的手机号，并通过 Inline Query 外传至开发者控制的 Bot（@nekonotificationbot）。 后门代码位于 Extra.java（混淆后为 uo5），核心逻辑：遍历 8 个账号槽位 → 提取 UserID 与手机号 → 拼接密钥后以 Inline Query 发送。所有关键字符串均经自定义加密混淆。 该后门仅存在于编译发布的 APK 中，GitHub 公开源码中的对应文件为无害占位。经独立反编译对比验证，从源码自行编译的版本不含上述后门组件。 开发者回应称 Bot 仅用于"解析用户名"，但代码中明确提取了 phone 字段并使用无痕传输方式，与其说辞不符。 报告 via 群友投稿 🌸在花频道｜茶馆讨论｜投稿通道

🎉 【开源项目支持计划】OpenAI / Claude 都有 OSS 计划可申请 🔗OpenAI：https://openai.com/form/codex-for-oss 通过审核后，可获得 6个月 ChatGPT Pro（包含 Codex）、Codex Security、API积分。 🔗Claude：https://claude.com/contact-sales/claude-for-oss 通过审核后，可获得 6个月 Claude Max 20x。 —— 📌 简单说下结论：我更建议大家 优先关注 OpenAI 的活动。 因为 Claude for OSS 的门槛很高，官方页面写到的典型条件包括： - GitHub5000+ Stars - 或 100万/月 NPM 下载 - 且需要是 主要维护者 / 组织核心成员，最近 3 个月仍活跃维护 所以 Claude 这边更偏向 头部开源项目。 如果你是中小型项目维护者、独立开发者、工具作者，更值得先试试 OpenAI for OSS。 —— #OpenSource#OSS#OpenAI#Claude#AI

🚨重要通知：关于 Xray-core 更新后的连接问题🚨 近期，不少使用 EdgeTunnel2 的小白用户在更新 v2rayN 等梯子内核后，遇到节点连接失败的情况，并显示 “运行 Core 失败” 的报错提示。 🔍问题原因： 从 Xray-core v26.1.31 版本开始，Xray将逐步停止支持“跳过证书验证”功能。这是导致连接失败的根本原因。 ⚙️解决方法： 1. 请前往 EdgeTunnel2 面板，前往 “⚙️ 详细配置信息”。 2. 取消勾选 “跳过证书验证” 选项。 3. 保存 后 更新订阅。 完成上述操作后，您的梯子连接应该可以恢复正常。

HiDNS 2026 新年邀请码抽奖活动即将启动，敬请关注～ 各位群友，感谢大家长期以来在「CMLiussss 技术交流群」的活跃交流。为了让大家尽快体验 HiDNS 公共后缀服务，我们将于 2025 年 12 月 28 日至 12 月 31 日 每天 20:00 进行邀请码抽奖，每天发放 8 枚 HiDNS 邀请码。 友情提醒： 获取邀请码后， 请认真阅读HiDNS的使用条款：https://www.hidoha.net/tos ，明确哪些行为属于滥用； 注册请选择合规健康的域名前缀； 提交域名申请后，请开具支持工单，说明域名的预期用途。HiDNS 将在 72 小时内审核并激活您的域名; 不得将域名用于钓鱼网站、恶意软件传播、垃圾邮件发送、盗版/影视资源分发等违规用途； 关注 HiDNS 的 Telegram 频道：https://t.me/HiDNS_FreeDomain_Channel ，以便及时获取滥用行为的提醒与最新公告。 —— 2025-12-28 20:00 抽奖结果 2025-12-29 20:00 抽奖结果 2025-12-30 20:00 抽奖结果 2025-12-31 20:00 抽奖结果

错误的正则表达式导致大量科学上网服务瘫痪 2025年12月16日凌晨，由于开源项目 v2fly/domain-list-community 合并了一个包含错误的正则表达式，下游规则仓库同步了该错误。随后错误进一步蔓延，造成 Passwall、v2rayN 等依赖自动更新 Geosite 规则的客户端发生崩溃或分流失效，直接影响了大量终端用户。一位了解此事的开发人员向本频道提供了如下关键信息： 2025.12.15 22:38 源头仓库 v2fly/domain-list-community 合并了编号为 PR #2695 的提交。该提交包含了一个错误的正则表达式。 2025.12.16 06:15 著名的规则整合仓库 Loyalsoldier/v2ray-rules-dat 自动执行了上游同步脚本，将该错误规则吸纳并发布。 2025.12.16 上午 “灾难”开始爆发。开启了“自动更新 Geosite”功能的客户端在拉取最新规则后，立即遭遇解析错误，导致服务崩溃或网络中断。 预计受影响的代理工具包括 Passwall, Passwall2, luci-app-xray, v2rayN, mosdns, dae 等。 虽然v2fly 社区已积极修复，防止错误进一步扩散。但由于代理工具错误导致断网，用户必须手动删除 geosite:geolocation-!cn geosite:cn 等分流规则来修复网络。少数走直连更新的用户只需要再次更新并重启就能恢复。一些代理工具（如Xray）已经打了补丁避免未来此类事件再次发生。 [消息等级 Level B · #重要 ]

🎉好消息！HiDNS免费域名现已支持 Cloudflare 托管！ 相信真爱粉们应该都已经人手一个2099年永久域名了吧？ —— ⚠️ 重要变动提醒： - 注册方式已从 开放注册 改为 邀请制 - 现有2099年域名持有者 都具备邀请资格 - 但需要注意：如果 被邀请人滥用域名 导致投诉，邀请人的邀请资格可能会被收回，建议谨慎使用邀请资格 —— 📌 从站长维护域名的决心来看，HiDNS说不定真要成为第二个eu.org级别的免费域名服务了！这次支持Cloudflare托管更是让域名实用性大大提升。 ➕ 还没上车的朋友可以找已经有的朋友邀请一下，这么好的永久域名确实值得拥有！

Cloudflare 遭遇大规模故障 今天 19:30 开始，Cloudflare 的 CDN 网络出现大规模故障，导致流量无法传递给源服务器。 由于 CDN 问题，故障牵连 Cloudflare 的大量服务，控制台也受到影响。19点48分，CF status 更新信息：“已注意到并正在调查一个可能影响多位客户的问题。如有更多信息，我们将及时公布。” [消息等级 Level C2 · 简要]