PeerBanHelper icon indicating copy to clipboard operation
PeerBanHelper copied to clipboard

Published 20 hours ago verified publisher icon PBH-BTN

[社区通报] 新的恶意 Peer 样本 Transmission 2.96 (-TR296-); IPV6 SLAAC ::1

Open Ghost-chu opened this issue 6 months ago • 0 comments

我们近期发现了大量采用 Transmission 2.96,PeerID -TR296- 的伪装恶意客户端(目前已发现超过 2000 个 IPV6 地址),其特征如下:

  • IP 地址:IPV6 SLAAC 分配,结尾为 ::1
  • 客户端名称:Transmission 2.96
  • PeerID:-TR296-
  • 端口号:通常为 51413
  • 吸血 Torrent(Identifier,非 infohash):
    • 0b4fa0478defc9d936ce5d77ce7e6a4ebc21f35c0a3f6101259720ee5a50906d
    • 0c0a45a8dbc7721094ace8cd65a7b0ed52c36bd115718da401a4f3c7831a37fd
    • 636ff9f44270ce31cd64886c3b10793c3b5ec0602b50e67b8d82d0e07b9d6381
    • 63dcc2951c05d53d6eab3fe8ffe0f3377fb00af0d21a6032afaefec90b43a4ea
    • f20ad9f03866e922311e269a186dff7a343dfc35c22c6d9029be65d50cbe604b

PBH 检测行为为频繁进度倒退和进度重置。截至本文发布时,BTN 统计吸血量为 90.66 GB。IP 规则见此
由于其 IP 地址横跨大量 IPV6 段,使用前缀封禁将导致会封禁三大运营商全部家宽 IPV6 范围。因此我们无法生成 CIDR 规则使用。

PeerBanHelper 可以加载用户脚本来检测此恶意客户端,请下载检测脚本并将其重命名为 dot-1-ipv6-tr296.av 并放入 data/scripts 文件夹。重启 PBH 即可加载。

Ghost-chu avatar Aug 17 '24 10:08 Ghost-chu