找回密码
 立即注册
搜索
楼主: 雪村葵

[网络] bt做种被人用来刷了12T上传,导致限制了上行

[复制链接]
     
发表于 2024-10-17 13:30 | 显示全部楼层
本帖最后由 hollowd 于 2024-10-29 09:46 编辑

复制代码

  1. #!/bin/bash

  2. # 要获取的URL
  3. url="https://bcr.pbh-btn.ghorg.ghostchu-services.top/combine/all.txt"  # 确保这里的URL是正确的

  4. # 检查是否以root用户运行,或者使用sudo提升权限
  5. if [[ $EUID -ne 0 ]]; then
  6.    echo "此脚本必须以root用户身份运行或使用sudo提升权限"
  7.    exit 1
  8. fi

  9. # 使用wget获取内容并保存到变量中,并检查wget是否成功
  10. content=$(wget -qO - "$url" 2>/dev/null)
  11. if [[ $? -ne 0 ]]; then
  12.   echo "无法从URL获取内容,请检查URL是否正确或网络连接是否正常"
  13.   exit 1
  14. fi

  15. sudo iptables -F INPUT
  16. sudo ip6tables -F INPUT
  17. # 假设内容现在存储在变量content中,并且您想将其写入一个文件以供后续处理
  18. # 这里我们创建一个临时文件来存储CIDR地址
  19. temp_file=$(mktemp)
  20. echo "$content" > "$temp_file"
  21. INPUT_FILE="$temp_file"

  22. # 读取文件并添加规则
  23. while IFS= read -r cidr_ip; do
  24.   # 去除前后空白字符
  25.   cidr_ip="${cidr_ip##*( )}"
  26.   cidr_ip="${cidr_ip%%*( )}"

  27.   if [[ -n "$cidr_ip" ]]; then
  28.     if [[ "$cidr_ip" =~ ^[0-9a-fA-F:]+(/[0-9]+)?$ ]]; then
  29.       # 添加 ip6tables 规则
  30.       if ! sudo ip6tables -A INPUT -s "$cidr_ip" -j DROP; then
  31.         echo "无法添加规则:禁止来自 IPv6 地址 $cidr_ip 的访问" >&2
  32.       else
  33.         echo "添加了规则:禁止来自 IPv6 地址 $cidr_ip 的访问"
  34.       fi
  35.     else
  36.       # 添加 iptables 规则(默认为 IPv4)
  37.       if ! sudo iptables -A INPUT -s "$cidr_ip" -j DROP; then
  38.         echo "无法添加规则:禁止来自 IPv4 地址 $cidr_ip 的访问" >&2
  39.       else
  40.         echo "添加了规则:禁止来自 IPv4 地址 $cidr_ip 的访问"
  41.       fi
  42.     fi
  43.   else
  44.     echo "无效的输入行:$cidr_ip" >&2
  45.   fi
  46. done < "$INPUT_FILE"

  47. # 清理临时文件
  48. rm -f "$temp_file"
复制代码

ai写的脚本,#chmod +x 提升权限,#crontab -e  加入任务列表  0 0 * * *  /path/***.sh  零点更新规则
回复

使用道具 举报

     
发表于 2024-10-28 21:08 | 显示全部楼层
隔壁的帖子 QQ音乐也干了
https://bbs.nga.cn/read.php?tid=42221453
回复

使用道具 举报

     
发表于 2024-10-28 21:39 来自手机 | 显示全部楼层
flamel 发表于 2024-10-28 21:08
隔壁的帖子 QQ音乐也干了
https://bbs.nga.cn/read.php?tid=42221453

酷狗最严重,他能开几百个upnp端口
回复

使用道具 举报

     
发表于 2024-11-1 09:46 | 显示全部楼层
https://github.com/PBH-BTN/PeerBanHelper/releases/tag/v7.0.1

重要安全提示

qBittorrent <= 5.0.0 版本出现安全漏洞(影响自 2010 年以来,14 年间发布的所有版本)。攻击者可以通过 RSS 订阅源,或者通过中间人劫持攻击Python下载、GeoIP库更新和检查更新等模块进行远程代码执行(RCE)从而获取权限并控制整台计算机。请考虑升级到 5.0.1 或者更高版本。

建议的操作: 更新 qBittorrent 下载器到 5.0.1 或者更新版本
注:当前 5.0.1 版本可能存在内存泄漏。

临时缓解措施: 1) 不要添加不可信的 RSS 订阅源,或者暂时禁用 RSS 订阅功能;2) 确保上网环境安全,避免被中间人劫持攻击 3) 不要使用高权限账户(如:管理员或 root)运行 qBittorrent,对于 Linux 用户,考虑在 Docker 的非特权容器中运行 qBittorrent

如果您的 qBittorrent 运行在高价值设备上(如存储重要数据的 NAS): 建议您使用 Docker 部署 qBittorrent,考虑到 qBittorrent 在过去多个版本的安全方面的表现来说,不能说很差,只能说几乎完全没有安全性可言。对 qBittorrent 做隔离是相当必要的操作。如果您的 NAS 主机系统被提权控制,快照保护和定期备份程序都可能面临失效的风险。你设置的文件系统快照在系统本身被拿下的情况下,很可能无法发挥作用。

BTN 网络威胁提示

一般来说,我们不会在发行注记中发布 BTN 网络威胁信息,但由于相关地区的威胁以惊人的速度扩展,并且我们的云端规则无法很好的覆盖这些 IP 地址(前后缀都在随机更改),因此我们决定在发行注记中提及这一情况。

我们观察到最近 7 天,大连市出现大量异常连接记录,以一己之力追上海南省网的滥用情况。
恶意吸血者同时使用大量 IPV4 和 IPV6 地址,并通过频繁重拨、多拨更换 IPV6 前缀,并配合软件手段随机 IPV6 后缀,且客户端名称通常为 Transmission 2.94 或者 Transmission 3.00。相关样本与我们此前在海南省网发现的 Transmission 2.94 样本非常相似。但由于没有更多信息,我们暂时无法确认此样本的原始来源。
由于网络 IP 规则的局限性和时延性,我们推荐您通过 PBH 内置的 “城市” 规则选项卡,创建下列城市的黑名单规则(相关规则已经尽可能细化以避免影响其他正常地区):

    辽宁省 大连市 沙河口区
    辽宁省 大连市 中山区
    福建省 宁德市 古田县
    福建省 莆田市 涵江区
    海南省 海口市
回复

使用道具 举报

     
发表于 2024-11-1 11:20 来自手机 | 显示全部楼层
password 发表于 2024-11-1 09:46
https://github.com/PBH-BTN/PeerBanHelper/releases/tag/v7.0.1

啊?创建qbtuser跑qbt看起来也不安全了,不过只下载pt应该还好?
回复

使用道具 举报

发表于 2024-11-1 11:48 | 显示全部楼层
最近网络很不正常,疑似被丢到小黑屋/竞技场网段了,排查中发现我transmission上挂的一个海外pt站的几个几MB 的种子在近两个月内被刷了几十T,这群人都刷到海外pt站了
回复

使用道具 举报

发表于 2024-11-1 11:57 来自手机 | 显示全部楼层
难绷,这下漏洞刷子两面夹击了

—— 来自 鹅球 v3.3.92
回复

使用道具 举报

     
发表于 2024-11-2 12:55 | 显示全部楼层
年初知道这事由于我设置上传下载1:1一直没在意,前几天发现有几个aria2一直吸血ban掉还会出现,果断安装peerbanhelper
回复

使用道具 举报

     
发表于 2024-11-2 14:11 | 显示全部楼层
ork 发表于 2024-11-1 11:20
啊?创建qbtuser跑qbt看起来也不安全了,不过只下载pt应该还好?
  1. [Unit]
  2. Description=qBittorrent-nox service
  3. Documentation=man:qbittorrent-nox(1)
  4. Wants=network-online.target
  5. After=network-online.target nss-lookup.target

  6. [Service]
  7. Type=exec
  8. User=qbit
  9. Group=qbittorrent
  10. ExecStart=/usr/local/bin/qbittorrent-nox --profile=/usr/local/etc/qbit
  11. TimeoutStopSec=300

  12. Restart=on-failure
  13. # uncomment this to use "Network interface" and/or "Optional IP address to bind to" options
  14. # without this binding will fail and qBittorrent's traffic will go through the default route
  15. AmbientCapabilities=
  16. AmbientCapabilities=CAP_NET_RAW

  17. ReadWritePaths=/media
  18. ReadWritePaths=/usr/local/etc/qbit/

  19. CapabilityBoundingSet=
  20. LockPersonality=true
  21. MemoryDenyWriteExecute=true
  22. NoNewPrivileges=yes
  23. PrivateTmp=yes
  24. PrivateDevices=true
  25. PrivateUsers=true
  26. ProtectSystem=strict
  27. ProtectHome=yes
  28. ProtectClock=true
  29. ProtectControlGroups=true
  30. ProtectKernelLogs=true
  31. ProtectKernelModules=true
  32. ProtectKernelTunables=true
  33. ProtectProc=invisible
  34. ProtectHostname=true
  35. RemoveIPC=true
  36. RestrictNamespaces=true
  37. RestrictSUIDSGID=true
  38. RestrictRealtime=true
  39. SystemCallArchitectures=native
  40. SystemCallFilter=@system-service
  41. SystemCallFilter=~@privileged

  42. [Install]
  43. WantedBy=multi-user.target
复制代码
分享我的配置

评分

参与人数 1战斗力 +1 收起 理由
ork + 1 好评加鹅

查看全部评分

回复

使用道具 举报

     
发表于 2024-11-3 10:25 来自手机 | 显示全部楼层
开webui本来就会有漏洞被利用,seedbox上一直这样

单机运行是无所谓的,限定成localhost才能连接访问就完了
回复

使用道具 举报

     
发表于 2024-11-3 10:36 | 显示全部楼层
无限预知 发表于 2024-11-1 11:48
最近网络很不正常,疑似被丢到小黑屋/竞技场网段了,排查中发现我transmission上挂的一个海外pt站的几个几M ...

直接保号(
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|上海互联网违法和不良信息举报中心|网上有害信息举报专区|962110 反电信诈骗|举报电话 021-62035905|Stage1st ( 沪ICP备13020230号-1|沪公网安备 31010702007642号 )

GMT+8, 2024-11-9 09:52 , Processed in 0.052548 second(s), 5 queries , Gzip On, Redis On.

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表