ICDWON CDN已对中国大陆方向新启用一台2.5Gbps转发器与一个2.5Gbps融合转发器，针对大陆用户
由于ICDWON下载站流量激增，原来的转发器遭到负优化及路由调整，高峰时期出现1Mbps限速且高丢包，现启用一台新转发器以优化电信联通访问，新转发器已经上线，测速给我们反馈(双次测速即可)
http://d.icdown.club/tools/

网络故障报：不稳定
发布区域：日本NAT
影响：IXCM DNS(NS)，ICDOWN CDN
日本区域网络已出现已知问题，预计未来数小时将出现网络波动
【服务器管理组】

南方移动观测点多类型Ping数据

香港BGP的连接在整体上表现出相对稳定的延迟，平均RTT在45-46ms左右，波动幅度较小，丢包率也处于较低水平，短时间内的网络体验相对平稳。然而，从10天的趋势来看，在1月20日至1月22日之间经历了一次显著的网络波动，之后恢复稳定，这可能与网络维护或短期拥塞有关。考虑到最近一段时间的稳定性，该线路的未来10天预计仍将维持良好的状态，但需要关注突发性丢包问题。评级：🟡

HE IPV6的连接情况非常糟糕，延迟长期维持在320ms以上，最高接近400ms，同时丢包率高达67%以上，甚至在部分时段丢包率达到了80%，网络体验极其不稳定。从过去10天的数据来看，该线路在长时间内保持了高丢包的状态，且没有明显的改善迹象，这表明网络存在结构性问题，如路由拥塞或线路瓶颈。未来10天，该线路预计仍然会持续高延迟和高丢包的情况，不适合高质量的网络需求。评级：🔴

腾讯云的连接状况总体来说表现较差，过去3小时的丢包率在33%-60%之间，延迟维持在43ms左右。从长时间趋势来看，该线路在10天内经历了数次严重的丢包问题，尤其是在1月20日至1月27日期间，存在明显的丢包峰值，而30小时的趋势也显示丢包时断时续。虽然RTT稳定在合理范围，但高丢包率影响了整体网络体验。预计未来10天仍然会有一定的丢包波动，但整体不会出现更严重的恶化。评级：🔴

阿里云的连接状况良好，RTT平均在40ms左右，波动极小，过去3小时、30小时、10天、360天的数据均表现出极高的稳定性。丢包率基本为0%，即便在长时间观测中，也没有出现明显的拥塞和网络波动。从未来趋势来看，该线路预计仍将保持高质量的连接，没有任何明显的风险点。适合稳定的网络需求，如远程办公、视频会议等。评级：🟢

Claw的网络情况与阿里云类似，延迟平均38ms，波动极小，丢包率也基本为0%。过去10天的数据表现出极强的稳定性，所有时间段的连接质量都保持在优异水平。从未来10天的预测来看，没有任何迹象表明该线路会出现问题，预计继续维持高质量的网络连接。评级：🟢

Digitalvirt的连接情况也非常优秀，RTT保持在41ms左右，丢包率接近于0%，过去360天的表现稳定，短期内也没有明显的波动或突发丢包情况。网络质量和Claw、阿里云类似，预计未来10天仍然会保持良好的连接状态，适用于需要稳定网络连接的用户。评级：🟢

CN2的连接状况中规中矩，RTT在63ms左右，丢包率较高，达到10%以上。虽然从10天的趋势来看，该线路在1月23日后丢包率有所下降，但仍然存在波动性较大的问题，特别是在部分时段，丢包率曾经高达26%。未来10天，该线路可能仍然会保持一定的丢包，但不会出现剧烈恶化，适用于一般用途但不适合高质量需求。评级：🟡

连接状况总结表格
节点 | 评价
----------------------------
HKBGP | 🟡
HE IPV6 | 🔴
腾讯云 | 🔴
阿里云 | 🟢
Claw | 🟢
Digitalvirt | 🟢
CN2 | 🟡

【管理组服务器总控制室】

下载站正在进行架构改造，可能导致服务中断

自2025年02月17日起对下载站进行下列改造：
1.使用负载均衡以减少磁盘导致的下载速度不佳
2.设置故障转移源节点

影响范围：IXCM工作室下载站(ICDOWN)，第198号转发器

ICDOWN CDN
将关闭一批转发器及服务区

第198号转发器
地区：
美国→全向
日期：20250322

第74号转发器
地区：
美国→全向
日期：20250408

第198号综合服务点
地区：
备用站点 虚拟化服务
日期：20250328

AS9929转发器
地区：
美国→
中国大陆 联通 电信 移动
日期：20250929

AS4837转发器
地区：
美国→
中国大陆电信 联通
日期：20250523

CN2转发器
地区：
美国→
中国大陆
联通电信移动
日期：20250415

CMI转发器
地区：
香港→中国大陆移动
日期：20250326

154转发器
地区：
香港→东亚
日期：20250326

近一年间，下载站出现了较多被恶意刷取网站CDN流量及针对性的过多访问单个文件的行为。主要刷流的文件为Zerotermux各版本的安装包、VM磁盘镜像等大文件。

ICDOWN从未对文件下载进行任何的限制且文件下载始终为直链模式，但从2025年5月13日起ICDOWN已开始屏蔽已被标记为PCDN、CDN恶意流量、BT吸血IP及NetCraft相关的流量，这将会大大提升真实用户的浏览体验。

注意使用Nezha监控工具的新型入侵手段

攻击方式
phpMyAdmin 初始访问 → 日志投毒植入 Web Shell → AntSword 接管 → 部署 Nezha Agent → 部署 Ghost RAT → 创建恶意服务持久化

处理方法
检查是否存在恶意文件（如 123.php , live.exe , x.exe ）和名为 SQLlite 的恶意服务 ，并将其彻底移除 。

www.huntress.com/blog/nezha-china-nexus-threat-actor-tool

已知一个疑似伪装为zygisk针对root用户的后门，该病毒通过用户主动刷入模块感染设备，通过无障碍服务与系统及应用实现持久化，疑似窃取手机相册和密码信息，目前仅有三家（含卡巴斯基）安全软件服务商拉黑配置下发网址。
自查方式

​/system/priv-app/zygisk/ 目录
​/data/adb/service.d/ 目录下的 0.sh, 1.sh, 2.sh 脚本文件
​/data/local/vendor/ 目录
​/data/app/ 目录中包含 com.android.append 关键字的文件夹
​在Magisk（面具）的“超级用户”授权列表中，检查是否存在 com.android.append 的授权记录。

样本报毒5
报毒类型：间谍代理、下载者木马

疑似一个伪装成MT终端扩展包的应用程序，通过随机注入已安装模块感染ROOT设备，根据配置下发域名查看，与之前流行的远控同源。
由于本次感染未成规模，缺少相关样本分析，感染方式、传播途径未知。

判断：
1.MT终端扩展包bin.mt.plus.termex应位于用户程序列表，而非系统程序列表。
2.微信等应用程序，出现风险提示并自动登出账户。

参考：
1.制作方的伪装方式开始具有随机性并正在持续更新。
2.尽可能避免通过社交软件下载模块。
3.开挂、为了开挂做准备的用户可能是本次攻击的主对象。
4.已出现疑似攻击者后台的截图
5.疑似远程下发配置：fdkss.sbs/client/a.ashx

今日19时CloudFlare出现的故障已影响ICDOWN下载站，请等待服务提供商恢复。

下载站已通过切换到自有CDN解决了连接问题

cloudflare宣布该事件已解决，我们将切换回该服务商继续提供服务

昨日下午ICDOWN出现访问失败的问题，原因为CloudFlare故障。

ICDOWN CDN将在本年度内关闭标准CDN服务及部分转发器，使用固定解析的用户请及时修改。

将会关闭或已关闭的转发器：
香港103转发器
香港N转发器
香港25转发器
新加坡SG6转发器
日本OV-3转发器
土耳其TR6转发器

洛杉矶总74转发器
洛杉矶总142转发器
洛杉矶→AS9929转发器
洛杉矶→AS4837转发器
洛杉矶→CT-CN2转发器
洛杉矶→CT-CN2第二转发器

CloudFlare现正发生故障，影响下载站网络速度。

飞牛 OS (FnOS)疑似出现0-day漏洞，已被利用，建议使用该系统的用户暂时停止将OS网络暴露致公网。

样本观察：DDoS+远控，已出现多个样本->考虑非单一攻击方来源(?)，可能已被广泛利用

#安全报告
#紧急安全事件

Nekogram 12.5.2 版本发布后被曝出该客户端
1.(?)可能于2024年某个时间段后未经同意传输手机号至特定Bot的行为。
2.目前该行为正在持续
建议弃用此客户端，更换为其他可信第三方客户端或更换官方客户端。

#安全报告
#需要注意的安全事件