记一次多个站点账号被盗的经历

一个月前的某一天,登陆一个国外 PT 站的时候提醒我密码错误,因为我一直用的 1password 做密码管理,尝试了几次后,想通过找回密码也未果–站点无此账户。

这个时候有点慌了,难道被网站 ban 号了?

最近也没干啥违规的事,只是用它下了几集美剧。

然后我去找站点管理,管理说我是不是有些对外开放的服务没有加密码,我的 API KEY 被一个美国的 IP 正在使用。

这个时候我才意识到可能是我的 Sonarr 出问题了。之前为了图方便,一直觉得上密码没必要。 Sonarr 连接的 Jackett 也没做端口转发,侥幸的以为会没啥问题。

盗号的人应该是我在下载的时候知道了我的 IP,进而发现了我 Sonarr 的端口。至于怎么根据 Sonarr 里填写的 Indexer 信息改了我的密码甚至邮箱,我到现在也没搞明白。离谱的是一起丢了的两个站都是随机密码,也没添加到 Sonarr 和 Jackett 里,居然也被盗了。

痛定思痛,决定给所有的内网服务都加上强密码。先检查了一遍 Chrome 保存的弱密码,都改成强密码并转移到 1password 里统一管理,然后清空 Chrome 里保存的所有密码。然后关闭所有转发出去的端口,只留一个用于反代。同时通过脚本自动申请免费的 SSL 证书,这样可以通过不同二级域名访问不同的服务,端口号只需要转发出去一个就够了。这样也方便了 1password 在填写密码的正确识别到当前网站对应的密码。

参考的教程地址: NAS 相关 篇七:群晖反向代理小保姆级使用教程

另外由于我的 Sonarr 里还添加了 Qbittorrent 的账号密码,以防万一我把我所有 PT 站的 passkey 又改了一遍。改的时候发现 flood 就自带了批量改种子 Tracker 的功能,很是方便。到这里我才算折腾完了。

总结

不要心存任何侥幸,除了不要使用相同密码或者弱密码外,还要注意不要随便做端口转发,做了转口转发的一定要加上强密码。否则在一些人眼里你就是在裸奔。