之前玩机时砖了还能拆机短接触点强制 9008 刷机，不知道楼主这个能不能短接刷机

@NoOneNoBody 是的 都是 10T WUS721010ALE6L4
@NoOneNoBody 都是 ULTRASTAR 系列的
@zfy941 买贵了 后悔没早点上拼多多上看

@xtreme1 @seres 感谢解答

相关的攻击 https://github.com/altilunium/jaws.exploit

自实现个 PackageInstaller ，不是白名单或者安装密码不对不允许安装。思路来源移动的一款电视盒子 https://synology.pub/post/chinamobile-cm101s-crack/

+1

据我所知，初级 2-3k/天 中级 5-6k/天

这是外包了多少手啊

@20160409 qbittorrent 有个功能可以实现下载完成后执行指定的命令 ，叫 "Run external program on torrent completion" 可被用来进行挖矿、勒索等 ，最好是关闭 webui 访问

从日志上看是 log4j 库进行 jndi 注入攻击。
如果楼主的 qbittorrent webUI 使用的默认密码或使用的是弱密码，可以进行命令执行的（有次 ssh 配置改崩了，就是通过 qbittorrent 改回来的）

http://www.miitxxzx.org.cn/module/download/downfile.jsp?classid=0&showname=%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8%E4%BA%A7%E4%B8%9A%E4%BA%BA%E6%89%8D%E5%B2%97%E4%BD%8D%E8%83%BD%E5%8A%9B%E8%A6%81%E6%B1%82(1).pdf&filename=a1082cbbb71e422487b2e2c30526d7ea.pdf

里面有详细的安全行业能力要求，看看自己还差多少吧

@kingcanfish 这个试过了 禁止分片传输没用

@Mitt
代码是这样的
```go
func login() (Token string, Account string, FullName string) {
client = &http.Client{}
data := "提交的数据"
req, _ := http.NewRequest("POST", "http:///xxxxxx", bytes.NewReader([]byte(data)))
req.Header.Set("Content-Type", "application/json")
req.Header.Set("Accept", "*/*")
req.Header.Set("Cache-Control", "no-cache")

resp, _ := client.Do(req)

r, _ := io.ReadAll(resp.Body)

...
```

漏洞简单到令人发指，就是绕过认证+任意文件上传 估计早就有相关利用了，只是最近才被利用到黑产上。
备份才是王道

自建 Joplin Server + git 、cos 每日备份

凑个数

@SteveRogers https://www.cloudflare.com/zh-cn/ips/