MakuluLinux 操作系统在每次安装时都会内置一个持久后门程序,该程序会与开发者控制的服务器建立持续连接。同时,其更新脚本通过不安全的 HTTP 下载并以 root 权限执行,构成了严重的安全风险。这并非一个普通的操作系统,而是一个以免费 Linux 为诱饵的 SaaS(软件即服务)平台,所有 AI 功能和用户数据都通过开发者的服务器中转,使用户面临隐私泄露和设备被远程控制的风险。
一个内置的持久后门
该后门并非第三方攻击,而是由开发者 Jacque Montague Raymer 亲自嵌入到系统安装程序中的。
- 安装过程: 系统安装器
install-script.bin会将后门文件check.bin复制到/usr/bin/目录下。 - 持久化: 安装器会创建一个伪装成“系统健康检查”的开机自启项,使后门程序在系统启动后自动运行。
- 建立连接: 后门程序
check.bin会与 IP 地址为217.77.8.210的服务器建立一个持久的 TCP 连接。 - 关键证据: 该 IP 地址解析到
makulu.online——这正是开发者自己的域名。这明确地将后门与开发者的基础设施联系在一起。
安装程序的错误处理信息甚至会提示:“一个或多个关键的最终文件操作 (startup/check.bin) 失败”,这表明后门是其设计的“关键组件”。
极其不安全的实践
除了后门,该系统还存在其他严重的安全漏洞,使任何中间人攻击者都能轻易获得系统的 root 权限。
- 不安全的更新: 更新脚本通过纯文本 HTTP(而非加密的 HTTPS)下载,没有任何代码签名验证。
- 自动执行: 下载的脚本每 5 分钟就会被赋予执行权限,并以
sudo(root) 身份自动运行。 - 数据泄露: 另一个验证程序
verification.bin也会通过 HTTP 将信息发送回开发者的服务器。
真实意图:一个 SaaS 木马
MakuluLinux 的真正目的不是提供一个免费操作系统,而是搭建一个中心化的 AI 服务平台。
这是一个伪装成免费 Linux 发行版的 SaaS 业务,由位于越南岘港的一个人运营,所有服务都运行在德国的一台 VPS 上,并在每个用户的电脑上都留有后门。
所谓的 40 多个“AI 功能”只是一个外壳,所有用户的请求都会被代理到开发者位于德国的服务器,然后由该服务器去调用 OpenAI 或 HuggingFace 等真正的 AI 服务。
商业模式解析:
- 获客漏斗: 以“带 AI 功能的免费 Linux”为诱饵,吸引用户安装。
- 核心产品: 所谓的 AI 工具是真正的产品,但开发者只是一个未经披露的中间人。
- 流量变现: 通过“免费版”与“专业版”的限制来盈利,用户需要付费购买访问权限。
- 命令通道: 后门程序
check.bin为开发者提供了直接控制用户计算机的通道。 - 完全控制: 不安全的 HTTP 更新机制意味着开发者可以随时向任何用户的计算机推送任意代码并以最高权限执行,无需用户同意或验证。
此外,该系统还会主动收集用户数据,例如通过 weather.bin 获取每个用户的地理位置,并通过其服务器记录用户的所有 AI 对话、提示和生成的图像。
如果您正在使用 MakuluLinux
强烈建议立即采取以下措施,然后尽快迁移到一个可信的操作系统。
- 终止后门进程:
sudo kill $(pgrep -f check.bin) - 删除后门文件:
sudo rm -f /usr/bin/check.bin /usr/share/MakuluSetup/files/check.bin - 删除自启项:
rm -f ~/.config/autostart/System-Health-Check.desktop - 阻止服务器连接:
sudo iptables -A OUTPUT -d 217.77.8.210 -j DROP - 屏蔽相关域名:
echo "0.0.0.0 makulu.online" | sudo tee -a /etc/hostsecho "0.0.0.0 makululinux.eu" | sudo tee -a /etc/hosts - 禁用不安全的更新脚本:
sudo chmod -x /usr/share/MakuluSetup/check-patchlistsudo chmod -x /usr/share/MakuluSetup/update-checksudo chmod -x /usr/share/MakuluSetup/quick-patch
完成以上步骤后,请立即更改所有密码、重新生成 SSH 密钥,并尽快更换到一个值得信赖的 Linux 发行版。