愤怒！家里电视盒子被当做代理池

家里的外贸电视盒子被不知名进程当做代理池会有大量的WhatsApp以及TikTok请求，最开始怀疑当贝市场，卸载后问题依旧。

通过 clash 网页控制台找到几个可疑的IP以及域名，遂编写如下拒绝规则集，问题得以解决。

192.168.1.70是电视盒子源IP

1. 
   
2. payload:
   
3. - AND,((SRC-IP-CIDR,192.168.1.70/32),(DOMAIN,bmw.bestipip.com))
   
4. - AND,((SRC-IP-CIDR,192.168.1.70/32),(IP-CIDR,172.233.232.87/32))
   
5. - AND,((SRC-IP-CIDR,192.168.1.70/32),(IP-CIDR,172.233.232.100/32))
   

复制代码

初步分析 bmw.bestipip.com 域名应该是主动连接后下发IP（172.233.232.87，172.233.232.100，...）用于内网穿透提供代理服务。

另外外国月亮也不是圆的，电脑上常用的第三方播放器mpc hc，有一次在控制面板里面搜到一个未知程序，安装日期和mpc相同，搜索exe名字看到reddit上有人说似乎是宽带共享之类的，可能也是代理

家用路由器关掉UPnP，浏览器关掉webrtc，在看国内平台直播的时候可以避免连接到pcdn节点导致上传占满。否则的话自己电脑又卡，又白给斗鱼b站做嫁衣。系统里不装国产软件更是常识，实在要用就VMware新建虚拟机用吧，设置里还可以限制网卡传出速度。

当初有人把国内电视盒子带到日本用，结果日本网警上门了，说她家宽带有盗刷银行卡的行为，最后查出来是电视盒子有后门，好像就是当贝的。

所以国产的东西尽量少用吧，实在要用最好把权限控制到最小。

所以为什么有那么多家宽 IP 出售
路由器也有可能被黑变成代理
有时候大量的网络攻击也是用这些肉鸡

我nas之前有段时间功耗和cpu占用特别高，一直没找出来原因，有发现一个不知名进程，但是不知道是什么，当时全网都搜不到，搜那个进程名有搜到一个帖子说这个事，让降级，但是也没啥用，过了段时间再搜那个进程关键词，搜出来两个那两天新出来的帖子，是被人挖矿了，利用qb运行外部程序的这个功能来挖矿，虽然暴露外网呢，但是我的不是默认密码，而且那个时候已经不是以前有默认密码的时候了，很早的版本安装完都是随机密码，然后我自定义的随机密码，特别复杂的20位随机字符密码，到现在都不知道怎么被登录设置的。

WH9527 发表于 2025-1-3 23:15
我nas之前有段时间功耗和cpu占用特别高，一直没找出来原因，有发现一个不知名进程，但是不知道是什么，当时 ...

或许是0day漏洞，记得qb有个版本就是爆出过安全问题。
据说Windows现在还有ipv6引发的漏洞，不需要端口开放，也不用知道密码都可以入侵，只需要构造特定的数据包。本机开防火墙还不够。

我反正是所有服务端口只监听tailscale内网ip，这样别人想入侵的话得先破解了ts才行。

Mita 发表于 2025-1-3 23:35
或许是0day漏洞，记得qb有个版本就是爆出过安全问题。
据说Windows现在还有ipv6引发的漏洞，不需要端口开 ...

在那以后我能不开外网访问的就不开，必须要开的也开2FA。

我家电视没有额外的盒子，在电视内置系统安装的当贝应用商店和当贝助手也会存在这种情况吗，除了当贝从来没装过其他国内App