@JoeJoeJoe #36 唉，轮了三台服务器 SSH 密钥，又吊销了两个 GPG 。还好最重要的 GPG 在 Yubikey 里，有硬件保护，不然就头疼了。

中招了，去轮换 SSH 密钥了

@mangmaimu router.bittorrent.com 已经挂了，但是 dht.libtorrent.org 肯定是被污染了

@Overfill3641 我开了一个 issue ，可以围观支持下 https://github.com/qbittorrent/qBittorrent/issues/23928

@julyclyde 还真可以 https://i.imgur.com/agAJ0Rd.png

AIGC?

这么设计感觉没什么问题，哪怕是微软账户 passkey 登陆完，操作也仅限不敏感部分。涉及到修改安全设置也要额外验证方式再认一次

@A1188 我是 PBH 的开发者，因为提到 PBH 了所以我来说一下。

首先数据中心刷流量是肯定有的，其中一部分节点暴露了 Node Explorer ，可以从上面的信息上看到是专业的服务器。我相当怀疑是机房自己在刷，因为根据 IP 我找到了他们的官网，刷流 IP 段完美覆盖了官网上他们机房的所有位置和线路，而且 hostname 也写的非常清楚。此外带宽非常之高，IP 也非常多，正常租客很难拥有如此海量和丰富的资源。截至目前，数据中心是刷流主力。凭借 IDC 网络的特殊对待，这部分 Peer 连接性极佳，而且没有 QOS 和限速。

123 网盘作为早期怀疑对象之一，我跟了一年，直到目前都确实没有直接指向这家公司的证据。你可以认为 123 自己没下场搅和。

PCDN 是有的，这个非常确定。除了个人自己刷的，一部分 PCDN 服务提供商（公司）直接下场，在边缘节点大规模批量部署刷流客户端，这个我也跟了很久。

> 不知道 coloros 是不是也分开，左边下拉和右边下拉分开就有点不太习惯，我做个心理准备

@abc8678 设置-通知与控制中心-通知中心-从分离模式改成经典模式

> 一加现在支持多应用音量单独控制吗？以前选小米的其中一个原因

@abc8678 支持的，有应用播放声音的时候，按一下音量键最下面有一个条件按钮，点进去可以对不同应用音量单独调整。

路由器单买，毕竟不管是什么远程控制，路由器挂了没网了就都不好使了。网络方面稳定优先。实在有需求去搞旁路由+终端设备手动指定网关

> 在看哔哩哔哩的时候，经常会遇到直接视频暂停要缓冲，重新进一下视频就又能预览

和 OP 的网络关系不大，我的电信和移动都这样，B 站降本增效往 PCDN 调度导致的。

@petercui 手动破坏一下 tasks/xxx 后面的 ID 串，服务器返回了一个 `Bad botid` 响应，感觉是 C2 服务器。

给定的 `https://dicoduweb.com/get15/update` 伪装了 404 错误，实际上只有 curl 的 User-Agent 才返回 payload 。我这里卡巴斯基已经报毒了：

```
事件: 下载被拒绝
用户: BEELZEBUL\ghost
用户类型: 发起者
应用程序名称: curl.exe
应用程序路径: C:\Program Files\Git\mingw64\bin
组件: 安全浏览
结果描述: 已阻止
类型: 木马
名称: HEUR:Trojan-PSW.OSX.Amos.ba
精确度: 启发式分析
威胁级别: 高
对象类型: 文件
对象名称: arch1
对象路径: https://dicoduweb.com/get15/update//
对象的 MD5: 00CAC0E5943AD7AA4073462D8498D1A9
原因: 专家分析
数据库发布日期: 昨天，2025/9/28 23:22:00
```

VirusTotal 上已经有人上传过样本了： https://www.virustotal.com/gui/file/143174d17e1e2f05e957e63ef6a8b4a6ac77165bad70c45ccb0dcd2ca39375f8 不知道是不是楼主上传的，2 小时前 (相对 9/29 0:48)。

微步沙箱我刚刚也上传了： https://s.threatbook.com/report/file/143174d17e1e2f05e957e63ef6a8b4a6ac77165bad70c45ccb0dcd2ca39375f8

行为带有虚拟机检测，明摆着检测 QEMU 。


Google 一下，这个家族已经活跃了有多时间了： https://www.google.com/search?q=amos%2Finfostl

这里有个详细的分析： https://www.trendmicro.com/en_gb/research/25/i/an-mdr-analysis-of-the-amos-stealer-campaign.html

主要目标是：

* 系统配置文件信息
* 用户名和密码
* 主要各类浏览器的相关数据（包括 Cookies 等）
* 加密钱包数据
* Telegram 会话数据
* OpenVPN 配置文件
* 钥匙串数据
* Apple Notes 数据
* 来自桌面、文档、下载文件夹和其它位置的个人文档（ txt, pdf, docx, json, db, wallet, key ）

其它感染过程和具体行为 OP 请自行查看分析文章。


---

事到如今就别想着移除，直接抹了系统重装吧。密码什么的也该改改吧。顺带一提这个样本很多杀毒软件的引擎都没能检出来……

@izjing666 #37 差钱就不应该考虑 NAS……机器贵、硬盘也很贵。持续运行的电费也是一笔支出。而且，为了避免硬盘断电暴毙，一般要再加一台 UPS……
更别提你要保证数据安全还要 3-2-1 ，异地备份更贵了。

刚刚观察了一下，我回复了一个帖子后现在是 99 银币 0.77 铜币，余额显示有小数点，但之前铜币开头不是 0 的时候是没有小数点的。所以逻辑应该是 0-1 之间显示小数点，>= 1 后就不显示了。

@livid chivalryflamen 这个账号最近在各个帖子底下大面积留言代理广告信息，今天点进去好几个帖子只要和服务器擦点边底下都能看到他的广告信息。

翻了一下资料页，注册于 2010 年，近年一直没有任何回复活动，突然从 3 天前大到处发布广告，感觉是账号被卖掉了。

REFS 真的很坑，一直在速刷版本号导致主系统一旦挂掉，离线 PE 几乎没几个能读的。紧急情况下没办法把里面的数据临时捞出来。如果一定要用，建议用 vhdx 创建，并放在 NTFS 的分区里，最起码能把 vhdx 捞出来。