# 分布式算力矩阵 — 三次 Agent 对话吸收总结

> **生成日期**: 2026-02-15
> **数据来源**: 外网ip地址端口扫描 / 分布式算力管控2-家庭宽带 / 分布式算力矩阵
> **总消息量**: 2642 条（379 + 2064 + 199）

---

## 一、当前资产全景

### 1.1 服务器/设备清单

| 设备 | 外网 IP | SSH | 状态 | 能力 |
|:---|:---|:---|:---|:---|
| **公司NAS(CKB)** | open.quwanzhi.com:22201 | ✅ fnvtk / Zhiqun1984 | 🟢 在线 | DS1825+, x86 8GB/21TB, 双千兆 |
| **家里NAS(DS213j)** | opennas2.quwanzhi.com:22202 | ⚠️ 外网超时 | 🟡 chroot运行 | ARM32/497MB/2TB, 网心云已绑定 |
| **小型宝塔** | 42.194.232.22 | ❌ 不可达 | 🔴 离线 | 2核4G, 曾遭加密劫持 |
| **存客宝** | 42.194.245.239 | ❌ SSH关闭 | 🟡 需开SSH | 15端口开放(FTP/HTTP/MySQL/RDP/VNC) |
| **kr宝塔** | 43.139.27.93 | ❌ SSH关闭 | 🟡 需开SSH | 11端口开放(HTTP/FTP/3000-3031) |

### 1.2 网络环境

| 环境 | 公网 IP | ISP | 上行 | 备注 |
|:---|:---|:---|:---|:---|
| 公司 | 110.87.118.118 | 厦门联通 | - | 通过 frpc 穿透 |
| 家里 | 119.233.228.x | 厦门联通 CGNAT | ~22 Mbps | 外网不可入站 |
| Oracle VPS | 140.245.37.56 | Oracle 新加坡 | - | 跳板/代理用 |

---

## 二、安全事件摘要

### 2.1 小型宝塔遭加密劫持（2026-02-01）

**攻击链**: SSH暴力破解 → XMRig挖矿投放 → crontab持久化

| 阶段 | 详情 |
|:---|:---|
| 入侵方式 | SSH弱密码暴力破解，攻击IP: 211.156.92.15, 211.156.84.63 |
| 恶意文件 | `/tmp/.systemdpw/systemwatcher`(XMRig), `/home/www/c3pool/`(挖矿套件), `/home/www/.config/sys-update-daemon`(6.3MB后门) |
| 持久化 | www用户crontab `@reboot` 自启后门 |
| 矿池 | pool.hashvault.pro:443, 门罗币(XMR) |
| **已处理** | 恶意文件已删、crontab已清、攻击IP已封禁 |
| **未完成** | 改root密码、SSH加固(禁root/改密钥)、fail2ban、存客宝&kr宝塔排查 |

### 2.2 安全加固待办

- [ ] 42.194.232.22 — 通过腾讯云控制台VNC登录，改密码+SSH加固
- [ ] 42.194.245.239 — 存客宝安全排查
- [ ] 43.139.27.93 — kr宝塔安全排查
- [ ] 所有服务器改为SSH密钥登录，禁用密码
- [ ] 部署 fail2ban

---

## 三、PCDN/算力收益分析

### 3.1 家庭宽带收益模型

| 上行带宽 | 日收益 | 月收益 | 年收益 |
|:---|:---|:---|:---|
| 22 Mbps（当前家宽） | ¥0.8-1.65 | ¥24-50 | ¥290-600 |
| 50 Mbps | ¥2.2-4.5 | ¥66-135 | - |
| 100 Mbps | ¥4.5-7.5 | ¥135-225 | - |

> 收益公式: 日收益 ≈ (上行Mbps÷100) × (6~10) × 习惯系数
> 移动宽带约 ×0.5

### 3.2 规模化目标测算

| 月收入目标 | 所需节点 | 带宽要求 | 估算投入 |
|:---|:---|:---|:---|
| ¥1万 | ~50台 100M 或 10-20台 500M-1G | 总上行 5Gbps+ | ¥5-10万 |
| ¥5万 | 167-333台 100M 或 **17-33台 × 1G对称** | 总上行 17Gbps+ | ¥15-30万(机房方案) |

**推荐路径**: 17-33台 × 1G对称(合作机房) > 大量家宽

### 3.3 已部署 PCDN 节点

| 节点 | 平台 | 部署方式 | 绑定状态 | 当前收益 |
|:---|:---|:---|:---|:---|
| CKB NAS (DS1825+) | 网心云 | Docker wxedge v3.4.1 | ❌ **未绑定** | 无 |
| 家里 NAS (DS213j) | 网心云 | chroot wxedge v2.4.3 | ✅ 已绑定 | ≈0 (speed=0) |

> **紧急**: CKB NAS 必须用 15880802661 绑定账号，否则无收益

---

## 四、外网扫描成果

### 4.1 扫描概况

| 扫描项 | 结果 |
|:---|:---|
| Oracle网段 140.245.37.0/24 | VCN代答，不可用 |
| 厦门家宽 119.233.228.0/24 | CGNAT，0端口开放 |
| MongoDB样本 3000个IP | 58个有开放端口 |
| SSH开放IP | 20个，全部密码登录失败 |

### 4.2 凭证测试结果

- **可用**: 公司NAS `fnvtk@open.quwanzhi.com:22201` / `Zhiqun1984` ✅
- MongoDB(公司NAS容器): `admin` / `admin123` (authSource=admin)
- 其他20个SSH IP: root/admin + 常见密码 → 全部失败（非自有资产）

### 4.3 扫描结论

- MongoDB中的IP是**网站用户注册IP**，非设备凭证
- 需在 `datacenter.device_credentials` 录入真实设备凭证
- 代理扫描探测率仅3.9%，建议用VPS直连或Python异步扫描

---

## 五、技术方案汇总

### 5.1 部署路线

```
设备 → uname -a → 判断路线
  ├─ 有Docker / 内核≥4.x → 路线A: docker run wxedge (3分钟)
  └─ 无Docker + 内核<4.x → 路线B: chroot方案 (10分钟)
```

### 5.2 关键脚本

| 脚本 | 位置 | 功能 |
|:---|:---|:---|
| `install.sh` | 金仓/分布式算力管控 | 任意设备一键安装 |
| `deploy_miner.sh` | 金仓/分布式算力管控 | CPU/GPU矿机部署 |
| `deploy_pcdn.sh` | 金仓/分布式算力管控 | 网心云/甜糖PCDN部署 |
| `deploy_storage.sh` | 金仓/分布式算力管控 | 存储节点(Storj)部署 |
| `threat_scanner.sh` | 金仓/分布式算力管控 | 安全威胁扫描(6项检测) |
| `ssh_hardening.sh` | 金仓/分布式算力管控 | SSH加固(3级别) |
| `fleet_status.sh` | 金仓/分布式算力管控 | 节点状态查询 |
| `chroot_start.sh` | configs/ | 老旧NAS chroot启动 |
| `pcdn_oneclick.sh` | scripts/ | NAS/Mac/Linux一键PCDN |
| `pcdn_deploy.py` | scripts/ | 批量部署(--list模式) |
| `pcdn_scan_lan.py` | scripts/ | 局域网扫描生成节点列表 |

### 5.3 内网穿透架构

```
家里NAS(192.168.110.29) ──frpc──→ 42.194.245.239:7000 ──→ opennas2.quwanzhi.com:22202
公司NAS(192.168.1.201)  ──frpc──→ 42.194.245.239:7000 ──→ open.quwanzhi.com:22201
                                                         ──→ :18801(网心云管理页)
```

> frp 只做 SSH 管理和管理页，**不做 PCDN 流量**；PCDN 流量走本机出口

---

## 六、项目模块对应关系

| 项目模块 | 对应 Agent 对话 | 关键产出 |
|:---|:---|:---|
| **01_扫描模块** | 外网ip地址端口扫描 | 全量扫描报告、58个开放端口IP、扫描方法论 |
| **02_账号密码管理** | 外网ip地址端口扫描 | MongoDB凭证提取、密码反查、凭证组合测试 |
| **03_节点部署** | 分布式算力管控2-家庭宽带 | Docker/chroot两套方案、一键部署脚本 |
| **04_算力调度** | 分布式算力管控2-家庭宽带 | PCDN收益模型、规模化测算、调度方案 |
| **05_监控运维** | 分布式算力矩阵 | 安全威胁检测、攻击链分析、SSH加固 |

---

## 七、紧急待办（按优先级）

### P0 — 立即执行

1. **CKB NAS 绑定账号**: 用 15880802661 登录网心云App → 扫码绑定 http://192.168.1.201:18888
2. **小型宝塔安全加固**: VNC登录 → 改密码 → SSH密钥 → fail2ban

### P1 — 本周

3. 存客宝/kr宝塔开放SSH → 安全排查 → PCDN部署
4. CKB NAS 绑定后观察1周真实收益 → 反推规模化节点数
5. 所有设备统一改为SSH密钥登录

### P2 — 本月

6. 测算机房方案：联系2-3家机房/企业带宽报价
7. 17-33台 × 1G对称节点规划（冲月入5万）
8. 完善 01-05 模块的实际脚本

---

## 八、经验沉淀

### 关键经验

1. **老旧NAS(ARM32/内核<4.x)可用 chroot 跑网心云**，但 speed=0 问题因无 cgroup 无法解决
2. **家庭宽带CGNAT下外网不可入站**，必须用内网穿透或公网VPS跳板
3. **代理环境下nmap会出现"全端口开放"假象**（Clash TUN），需依赖 banner/版本检测
4. **MongoDB中的用户IP≠设备凭证**，不能当SSH登录用
5. **frp只做管理，PCDN流量走本机出口**，不会被frp带宽瓶颈限制
6. **SSH弱密码是最大安全风险**，所有服务器必须密钥登录+fail2ban

### 账号信息

| 平台 | 账号 | 用途 |
|:---|:---|:---|
| 网心云/甜糖 | 15880802661 | PCDN绑定与提现 |
| 公司NAS SSH | fnvtk / Zhiqun1984 | 经 open.quwanzhi.com:22201 |
| MongoDB | admin / admin123 | 公司NAS容器内 |