nas 有奇怪的上下行流量,是不是被黑客入侵了

2023-04-17 15:30:37 +08:00
 iGmainC

机场的流量最近莫名的被使用,今天是套餐开始第一天,早上起来就已经使用了二十多个 G 了

我本来以为是 PT 下载开了代理,是 pt 下载在用流量,但我把 pt 下载关掉还是有上行,并且下行几乎也是跑满的

我使用 iftop 查看上行流量的连接,发现了几个奇怪的 ip:91.222.155.5646.185.19.250209.192.235.5492.60.179.163

其中209.192.235.54是美国 ip ,代理里边有美国节点,还勉强说的通,其他三个查询一下是 wkl 的 ip ,我机场的配置文件里又没有 wkl 的节点

后来把 clash 容器关掉,上下行流量就正常了,重新开启 clash 容器,上下行流量又异常

大佬们帮忙分析下这是什么情况

2178 次点击
所在节点    奇思妙想
8 条回复
WJackson
2023-04-17 15:39:54 +08:00
关闭一下“允许局域网连接”试试
iBugOne
2023-04-17 15:40:24 +08:00
日经问题,clash 开在公网上被人扫到直接拿来用了
iGmainC
2023-04-17 15:45:02 +08:00
@iBugOne 但是我 nas 应该不是公网 IP 啊
xgfan
2023-04-17 17:52:56 +08:00
看一下 clash 的容器吧,说不定是挂马了的。
iGmainC
2023-04-17 18:58:55 +08:00
@xgfan dockerhub 的 dreamacro/clash 镜像,应该是二楼说的,但是我应该没公网 ip ,很奇怪
halfdb
2023-04-17 19:38:35 +08:00
ipv6 没开防火墙?
molezznet
2023-04-18 08:51:16 +08:00
ipv6 感觉最有可能吧
dianso
2023-04-18 11:15:54 +08:00
我就做过这个

有些人没公网 IP ,就关了 ipv6 防火墙,用个域名 ddns 访问 nas 和内网。

在某些个人定制版的容器,比如下载软件,还有整合 UI 或者驱动的容器,都加入了代码,会将 IP 发出去。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/933175

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX