@罐子，用了 https 应该不是中间人，例如运营商。。不过买通内部运维倒是有点可能，出现问题的两个网站服务器好像都在同一家公司的机房
小米MIX2s(白)

tcpdump
小米MIX2s(白)

@罐子，不会的，用了 https
小米MIX2s(白)

@天蓝，可能要考虑一下是不是地方运营商内部加了劫持工具，我之前在网上就看到有人干过这个事。
在全国各个机房收买内部运维人员等植入恶意程序进行劫持。

一加8Pro

@罐子，现在不清楚是否还能复现
1.一开始是电脑都会弹
2.后面是只有手机会弹
3.重装nginx后次日晚，有两个使用校园网的访问反馈依然弹窗，但是更换数据流量后正常，证明不是浏览器js缓存的问题
4.可能又被挂马了，但是不是所有访问都弹，可能只有部分IP会弹，也不好复现
5.观察中
小米MIX2s(白)

鲲鹏920+银河麒麟V10 SP1,安装好无法运行，也是提示“/opt/deepin-box86/box86：无法执行二进制文件: 可执行文件格式错误”

@天蓝，现在还能复现吗
一加8Pro

tcpdump吧

@梦浪的小虾米，编译安装的nginx v1.20，其他的phpmyadmin，php版本什么的不确定

@罐子，另外罐子的群友遇到同样的挂马，是极速安装的nginxv 1.22（也是用的宝塔）

---

最新进展：使用goby和nessus扫描工具并未扫出服务器漏洞
小米MIX2s(白)

一开始是怎么装的？最初始的环境配置是啥？

@老虎会游泳，嗯嗯。
一加8Pro

@罐子，oray_mcu_firmware_mod.hex（57.75 KB）

你可以自己和未修改的固件进行对比

@老虎会游泳，oray_mcu_firmware.hex
改好的固件来个呗。我之前就想过，但是不知道怎么弄。

一加8Pro

@Caddi，结果如何老虎应该给你解决了吧。
一加8Pro

@老虎会游泳，谢谢虎大佬！
具体用什么运行的我也不清楚，如果有需要的话我可以帮忙测试或者把游戏包传群里（我的群里的q：2972-56079）
这老游戏插件挺多的（最基本的是大箱子PlugY和地图插件hackmap）会不会跟这个有关系？
我大概试了试，hm需要在运行环境选项里启动dgvoogoo2才能正常显示（本来d2好像就是在glide上开发的），PlugY看起来也能正常显示

@jiongrenshimisi，

未实现的操作码，是用box86运行的吗，我觉得是box86需要完善或更新。
之后我尝试更新一下。

注意：oray_mcu_firmware.hex是从控控固件1.4.0版本提取的，不适用于其他固件。如果你的控控固件版本低于1.4.0，你应该先升级到该版本再刷入。

@罐子，不能登陆是指“虎绿林”这个微信小程序吗？我刚才调试看了下，可能很久之前就不能登陆只能看了，hu60 的 POST 接口校验 referer 比较严格，有空再迭代吧...看看 wap 也挺好的

@iola1999，小程序不能登录了
一加8Pro

@罐子，我震惊了，居然有人在用的吗。。。很久没有维护了，不，应该说一开始就停止维护了。。
吃完饭我看看。