事故简介

本次 905网络入侵事故 为严重运维风险事故，由于部分机器人搭建者网络安全意识不佳，服务器运维技术薄弱，导致攻击者通过入侵群聊机器人后台，控制群聊机器人大量发送违法信息，造成大量Q群和账号被冻结。事故造成影响极其恶劣，受灾范围极大。

事故经过

有不法分子针对 弱密码的 Napcat WebUI 以及 弱密码的 Onebot 协议开放端口 进行了扫描和入侵。

在2025-09-05 晚间22:00时许，攻击者劫持相关机器人批量发送大量反动言论，致使大量 群、机器人账号、目击者、转发聊天记录者 被处以 永久 或 7天 的封禁处罚。

接通知后，我立即开始着手分析受灾原因和受灾情况，并于23时许开始 排查代挂骰娘的安全性，并 对部分有可能遭遇风险的骰娘进行了搬迁工作。

直至 2025-09-06 05:00 左右企鹅大范围封杀前，我这里代挂的骰娘 均未被本次事件影响。

造成影响

2025-09-06 凌晨起企鹅提高了风控阈值，升级了监测机制，大量机器人和普通账号被 反复提示 风险环境并冻结。

基于此情况，建议被多次冻结（如几个小时就被下线一次）的账号不要再强行登录，请暂停一段时间，以免封禁系统的进一步升级处罚。

预防措施

为预防(有可能存在的)风险，请所有 海豹、溯洄 骰用户 务必设置 WebUI 密码！！

在日常使用中，所有 WebUI 都应当设置密码，且密码应当是在 8位以上，包含大写、小写字母，数字、特殊符号 的 高强度 密码。

密码您可以记录在手机或电脑的浏览器自动填充或者是备忘录中，这样既不会遗失密码，也不会因为密码强度过低而被不法分子侵入后台，进而被利用。

快速排障

以下是各骰系的快速自助排障清单，请跳转 对应骰系 章节来逐步操作。

海豹系核心

请访问骰娘的海豹 WebUI，找到 账号设置 ，删除原登录卡片。

新建一个 QQ(内置客户端) 登录方式（注意，不得选择 QQ(内置gocq)），签名版本选择 39038 ，并选择延迟较低的 签名服务（不建议选择 海豹V2 ）。

然后点击 下一步，出现二维码后，使用 真实摄像头扫描，并勾选 允许自动登录 。

若签名版本处没有39038 ，请选择 自定义，然后签名来源填写以下任意一个：

拉格兰官方：https://sign.lagrangecore.org/api/sign/39038

雪桃反代主线：https://backbone.seal-sign.xuetao.host/api/sign/39038

雪桃反代备用：https://turbo.seal-sign.xuetao.host/api/sign/39038

然后点击 下一步，执行扫码登录，注意使用 真实摄像头扫描，并勾选 允许自动登录 。

若扫码时提示 网络环境不稳定或网络环境危险 等，请尝试在海豹的 账号设置 页面删除当前登录卡，重新执行上述登录流程，手机端不要连接Wi-Fi，而是使用流量扫码。如果依然这样，考虑是登录过于频繁，请数小时后重试。

至此海豹骰应已经解决当前无法登录的故障。若执行上述操作无效，请截图 主页 整页的日志私聊给我，我会在数小时内查看并解决。

溯洄&青果系核心

溯洄&青果骰系在我这里代挂均使用 NapCat(Docker) + Linux Dice/OlivOS(Docker) 或 NapCat(Docker)+ Windows Dice ，部分骰主已交付 操作管理面板 的账号密码，这是一个允许骰主自行重启和管理文件的网页管理后台。

拥有该面板的骰主请按照如下清单执行排障：

首先，检查账号状态。

登录手机QQ，检查状态，若已经被风控请刷脸 解除冻结状态 。

确认账号 状态正常 后，登录管理后台，点击管理，点击重启实例以重启启当前实例。

等待重启完成后，会出现字符二维码。使用 真实摄像头扫描，并勾选 允许自动登录 。

至此完成恢复使用，后续如果再次被系统下线时，也可以执行上述步骤来恢复登录。

若您 不知道 该后台的地址以及账号密码，这可能是因为您的骰子可能是后迁移到 NapCat 的，导致没有交付管理后台权限。

请私聊联系我获得该后台权限，然后执行上述操作恢复使用。