bt做种被人用来刷了12T上传，导致限制了上行

hollowd

1. 
   

复制代码

1. #!/bin/bash
   
2. 
   
3. # 要获取的URL
   
4. url="https://bcr.pbh-btn.ghorg.ghostchu-services.top/combine/all.txt"  # 确保这里的URL是正确的
   
5. 
   
6. # 检查是否以root用户运行，或者使用sudo提升权限
   
7. if [[ $EUID -ne 0 ]]; then
   
8.    echo "此脚本必须以root用户身份运行或使用sudo提升权限"
   
9.    exit 1
   
10. fi
    
11. 
    
12. # 使用wget获取内容并保存到变量中，并检查wget是否成功
    
13. content=$(wget -qO - "$url" 2>/dev/null)
    
14. if [[ $? -ne 0 ]]; then
    
15.   echo "无法从URL获取内容，请检查URL是否正确或网络连接是否正常"
    
16.   exit 1
    
17. fi
    
18. 
    
19. sudo iptables -F INPUT
    
20. sudo ip6tables -F INPUT
    
21. # 假设内容现在存储在变量content中，并且您想将其写入一个文件以供后续处理
    
22. # 这里我们创建一个临时文件来存储CIDR地址
    
23. temp_file=$(mktemp)
    
24. echo "$content" > "$temp_file"
    
25. INPUT_FILE="$temp_file"
    
26. 
    
27. # 读取文件并添加规则
    
28. while IFS= read -r cidr_ip; do
    
29.   # 去除前后空白字符
    
30.   cidr_ip="${cidr_ip##*( )}"
    
31.   cidr_ip="${cidr_ip%%*( )}"
    
32. 
    
33.   if [[ -n "$cidr_ip" ]]; then
    
34.     if [[ "$cidr_ip" =~ ^[0-9a-fA-F:]+(/[0-9]+)?$ ]]; then
    
35.       # 添加 ip6tables 规则
    
36.       if ! sudo ip6tables -A INPUT -s "$cidr_ip" -j DROP; then
    
37.         echo "无法添加规则：禁止来自 IPv6 地址 $cidr_ip 的访问" >&2
    
38.       else
    
39.         echo "添加了规则：禁止来自 IPv6 地址 $cidr_ip 的访问"
    
40.       fi
    
41.     else
    
42.       # 添加 iptables 规则（默认为 IPv4）
    
43.       if ! sudo iptables -A INPUT -s "$cidr_ip" -j DROP; then
    
44.         echo "无法添加规则：禁止来自 IPv4 地址 $cidr_ip 的访问" >&2
    
45.       else
    
46.         echo "添加了规则：禁止来自 IPv4 地址 $cidr_ip 的访问"
    
47.       fi
    
48.     fi
    
49.   else
    
50.     echo "无效的输入行：$cidr_ip" >&2
    
51.   fi
    
52. done < "$INPUT_FILE"
    
53. 
    
54. # 清理临时文件
    
55. rm -f "$temp_file"

复制代码

ai写的脚本，#chmod +x 提升权限，#crontab -e  加入任务列表  0 0 * * *  /path/***.sh  零点更新规则

flamel

隔壁的帖子 QQ音乐也干了
https://bbs.nga.cn/read.php?tid=42221453

qwased

flamel 发表于 2024-10-28 21:08
隔壁的帖子 QQ音乐也干了
https://bbs.nga.cn/read.php?tid=42221453

酷狗最严重，他能开几百个upnp端口

password

https://github.com/PBH-BTN/PeerBanHelper/releases/tag/v7.0.1

重要安全提示

qBittorrent <= 5.0.0 版本出现安全漏洞（影响自 2010 年以来，14 年间发布的所有版本）。攻击者可以通过 RSS 订阅源，或者通过中间人劫持攻击Python下载、GeoIP库更新和检查更新等模块进行远程代码执行（RCE）从而获取权限并控制整台计算机。请考虑升级到 5.0.1 或者更高版本。

建议的操作： 更新 qBittorrent 下载器到 5.0.1 或者更新版本
注：当前 5.0.1 版本可能存在内存泄漏。

临时缓解措施： 1) 不要添加不可信的 RSS 订阅源，或者暂时禁用 RSS 订阅功能；2) 确保上网环境安全，避免被中间人劫持攻击 3) 不要使用高权限账户（如：管理员或 root）运行 qBittorrent，对于 Linux 用户，考虑在 Docker 的非特权容器中运行 qBittorrent

如果您的 qBittorrent 运行在高价值设备上（如存储重要数据的 NAS）： 建议您使用 Docker 部署 qBittorrent，考虑到 qBittorrent 在过去多个版本的安全方面的表现来说，不能说很差，只能说几乎完全没有安全性可言。对 qBittorrent 做隔离是相当必要的操作。如果您的 NAS 主机系统被提权控制，快照保护和定期备份程序都可能面临失效的风险。你设置的文件系统快照在系统本身被拿下的情况下，很可能无法发挥作用。

BTN 网络威胁提示

一般来说，我们不会在发行注记中发布 BTN 网络威胁信息，但由于相关地区的威胁以惊人的速度扩展，并且我们的云端规则无法很好的覆盖这些 IP 地址（前后缀都在随机更改），因此我们决定在发行注记中提及这一情况。

我们观察到最近 7 天，大连市出现大量异常连接记录，以一己之力追上海南省网的滥用情况。
恶意吸血者同时使用大量 IPV4 和 IPV6 地址，并通过频繁重拨、多拨更换 IPV6 前缀，并配合软件手段随机 IPV6 后缀，且客户端名称通常为 Transmission 2.94 或者 Transmission 3.00。相关样本与我们此前在海南省网发现的 Transmission 2.94 样本非常相似。但由于没有更多信息，我们暂时无法确认此样本的原始来源。
由于网络 IP 规则的局限性和时延性，我们推荐您通过 PBH 内置的 “城市” 规则选项卡，创建下列城市的黑名单规则（相关规则已经尽可能细化以避免影响其他正常地区）：

    辽宁省 大连市 沙河口区
    辽宁省 大连市 中山区
    福建省 宁德市 古田县
    福建省 莆田市 涵江区
    海南省 海口市

ork

password 发表于 2024-11-1 09:46
https://github.com/PBH-BTN/PeerBanHelper/releases/tag/v7.0.1

啊？创建qbtuser跑qbt看起来也不安全了，不过只下载pt应该还好？

无限预知

最近网络很不正常，疑似被丢到小黑屋/竞技场网段了，排查中发现我transmission上挂的一个海外pt站的几个几MB 的种子在近两个月内被刷了几十T，这群人都刷到海外pt站了

蜇灵

难绷，这下漏洞刷子两面夹击了

—— 来自 鹅球 v3.3.92

猫沢

年初知道这事由于我设置上传下载1：1一直没在意，前几天发现有几个aria2一直吸血ban掉还会出现，果断安装peerbanhelper

回忆and无语

ork 发表于 2024-11-1 11:20
啊？创建qbtuser跑qbt看起来也不安全了，不过只下载pt应该还好？

1. [Unit]
   
2. Description=qBittorrent-nox service
   
3. Documentation=man:qbittorrent-nox(1)
   
4. Wants=network-online.target
   
5. After=network-online.target nss-lookup.target
   
6. 
   
7. [Service]
   
8. Type=exec
   
9. User=qbit
   
10. Group=qbittorrent
    
11. ExecStart=/usr/local/bin/qbittorrent-nox --profile=/usr/local/etc/qbit
    
12. TimeoutStopSec=300
    
13. 
    
14. Restart=on-failure
    
15. # uncomment this to use "Network interface" and/or "Optional IP address to bind to" options
    
16. # without this binding will fail and qBittorrent's traffic will go through the default route
    
17. AmbientCapabilities=
    
18. AmbientCapabilities=CAP_NET_RAW
    
19. 
    
20. ReadWritePaths=/media
    
21. ReadWritePaths=/usr/local/etc/qbit/
    
22. 
    
23. CapabilityBoundingSet=
    
24. LockPersonality=true
    
25. MemoryDenyWriteExecute=true
    
26. NoNewPrivileges=yes
    
27. PrivateTmp=yes
    
28. PrivateDevices=true
    
29. PrivateUsers=true
    
30. ProtectSystem=strict
    
31. ProtectHome=yes
    
32. ProtectClock=true
    
33. ProtectControlGroups=true
    
34. ProtectKernelLogs=true
    
35. ProtectKernelModules=true
    
36. ProtectKernelTunables=true
    
37. ProtectProc=invisible
    
38. ProtectHostname=true
    
39. RemoveIPC=true
    
40. RestrictNamespaces=true
    
41. RestrictSUIDSGID=true
    
42. RestrictRealtime=true
    
43. SystemCallArchitectures=native
    
44. SystemCallFilter=@system-service
    
45. SystemCallFilter=~@privileged
    
46. 
    
47. [Install]
    
48. WantedBy=multi-user.target

复制代码

分享我的配置

darkangel0224

开webui本来就会有漏洞被利用，seedbox上一直这样

单机运行是无所谓的，限定成localhost才能连接访问就完了

kyokofsky

无限预知 发表于 2024-11-1 11:48
最近网络很不正常，疑似被丢到小黑屋/竞技场网段了，排查中发现我transmission上挂的一个海外pt站的几个几M ...

直接保号（

雪村葵

自从这个事情以后，出租屋里的千兆宽带下载速度一直都只有6、7MB/s

今天又让宽带师傅上门看了一趟，又是拍照又是签字的，终于回到正常千兆宽带该有的速度了

循此苦旅

我也被限速了，PBH也开了，看来正常BT做种只要流量达到限额也会触发

Nanachi

循此苦旅 发表于 2024-12-18 08:52
我也被限速了，PBH也开了，看来正常BT做种只要流量达到限额也会触发

限制下上传速度吧

—— 来自 鹅球 v3.3.92

循此苦旅

Nanachi 发表于 2024-12-18 08:56
限制下上传速度吧

—— 来自 鹅球 v3.3.92

它这个是怎么判定的，上传量达到一定比例还是固定额度？
问装维师傅也没问出来啥

password

循此苦旅 发表于 2024-12-18 10:32
它这个是怎么判定的，上传量达到一定比例还是固定额度？
问装维师傅也没问出来啥 ...

看你ISP的，各地电信/联通/移动都不一样，有的是固定上传量有的是上传下载比例，有的可能两者都有

有兴趣可以多上上v2ex宽带症候群节点

https://www.v2ex.com/go/bb?p=4

ltycomputer

循此苦旅 发表于 2024-12-18 10:32
它这个是怎么判定的，上传量达到一定比例还是固定额度？
问装维师傅也没问出来啥 ...

省一级估计有指标，装维师傅肯定不知道。反正上次来查上传，给的列表是省公司抬头的。

flamel

循此苦旅 发表于 2024-12-18 10:32
它这个是怎么判定的，上传量达到一定比例还是固定额度？
问装维师傅也没问出来啥 ...

省一级的运营商有查的，基本是看上行总量，有的省就是剔除机房ip之后，按上传量排个序拉个表然后派人去查

—— 来自 S1Fun

張無忌

讲下最近情况，对方可能是部署了新的客户端，显示QT某个固定的版本，下载进度也正常，没什么明显特征。我发觉不正常，是因为有连续的IP用同一个版本的客户端反复下几个文件。
这是我手工ban掉的IP段
::ffff:124.91.148.0-::ffff:124.91.148.255
124.91.148.0-124.91.148.255
1.58.198.0-1.58.198.255
112.82.223.0-112.82.223.255
112.82.234.0-112.82.234.255
153.35.236.0-153.35.236.255
122.96.244.0-122.96.244.255

AraTurambar

今天差点翻车，幸好手动发觉干涉了。

对，就是楼上说的这种QT客户端。

我被骗了五块钱

玩PT偶尔下BT的话可以设置一下上传到1000%就停止做种，反正PT基本上也不会超这个上传率，有效防止PCDN吸血。

我被骗了五块钱

張無忌 发表于 2024-12-19 11:37
讲下最近情况，对方可能是部署了新的客户端，显示QT某个固定的版本，下载进度也正常，没什么明显特征。我发 ...

没用，你BAN不完的，人家换个IP地址成本就是0

qz88

PBH拦截了好多次用基站刷上传