ゼファーネットのロゴ

生成的データ インテリジェンス

特許

qBittorrent Web UI が悪用されて暗号通貨のマイニングが行われる: 修正方法は次のとおりです

プラトン再発行
プラトン再発行

日付:

閲覧数: 99

qbittorrentのロゴ

qbittorrentのロゴBitTorrent クライアントの機能は過去 20 年間基本的に変わっていませんが、主要なクライアントの開発者はソフトウェアを停滞させていません。

良い例は、優れた qBittorrent、機能が豊富なオープン ソース クライアントであり、定期的に更新が受信されます。 同様のクライアントと同様に、qBittorent は次のことができます。 GitHubで見つかりました ソースとインストール手順も併せてご覧ください。

同じプラットフォーム上の別の場所で、ユーザーは最近、標準の qBittorrent のインストールがどのようにして同じマシン上に望ましくない暗号通貨マイニング ソフトウェアを突然出現させるのかを解明しようとしていました。

Proxmox と LXC

それらに慣れていない人 プロクスモックスVE、一度試してみると非常にすぐに便利になる仮想マシンの環境です。 また、一般の人にとっては無料であり、ほとんどの場合、インストールして立ち上げて実行するのは非常に簡単です。

teck-proxmox

teck-proxmoxによって提供されるさまざまな Proxmox 'ヘルパー スクリプト' の助けを借りて GitHub で試してみよう (右側の小さなサンプル)、初心者でも、次のコマンドを使用して、数十の利用可能なソフトウェア パッケージのいずれかを数秒でインストールできます。 LXCコンテナ.

たとえどれも意味がなかったとしても、それは問題ではありません。 たとえば、qBittorrent をインストールしたい人は、XNUMX 行のテキストをコピーして Proxmox に貼り付けることができます。それだけです。 プロセス全体がほぼ常に完璧であることを考えると、ユーザーの問題が発生することは非常にまれであるため、最近マルウェア感染の可能性について聞いたときは本当にショックでした。

クリプトマイナーの発見

要約すると、Proxmox ユーザーは tteck スクリプトをデプロイして qBittorrent をインストールし、XNUMX か月後、自分のマシンがクリプトマイニング ソフトウェアによって酷使されていることに気づきました。 エックスムリグ。 問題を調査する際、tteck は基本的な予防策として qBittorrent LXC スクリプトを削除しましたが、Proxmox も tteck のスクリプトも問題とは何の関係もないことがすぐに明らかになりました。

この望ましくないソフトウェアは確かに悪意を持ってインストールされましたが、天才的なハッキングではなく、一連の回避可能なイベントによるものでした。

このような qBittorrent のインストールが完了し、ソフトウェアが起動すると、ほとんどの Web ブラウザからアクセスできる Web インターフェイスを介して qBittorrent へのアクセスが行われます。 デフォルトでは、qBittorrent はポート 8080 を使用します。多くのユーザーはリモート ネットワークから torrent クライアントにアクセスすることを好むため、qBittorrent は UPnP (ユニバーサル プラグ アンド プレイ) を使用してポート転送を自動化し、それによって Web インターフェイスをインターネットに公開します。

qbit-webui

これが記録的な速さで動作することは非常に素晴らしいことですが、だからといって安全であるというわけではありません。 クライアントのオペレータのみが Web インターフェイスにアクセスできるようにするために、qBittorrent では、ユーザーが認証のためにユーザー名とパスワードを設定できるようにしています。

これは通常、ランダムな通行人がダメージを与える前にこれらの認証情報を所有する必要があることを意味します。 この場合、デフォルトの管理者ユーザー名とパスワードは変更されていないため、攻撃者は Web インターフェイスに簡単にアクセスできます。

攻撃者は qBittorrent に外部プログラムを実行するよう指示

ユーザーがファイルのダウンロードと整理に関連するさまざまなタスクを自動化できるようにするために、qBittorrent には、トレントの追加時および/またはトレントの終了時に外部プログラムを自動的に実行できる機能があります。

ここでのオプションはユーザーの想像力とスキルによってのみ制限されますが、残念ながら、クライアントの Web インターフェイスにアクセスできる攻撃者にも同じことが当てはまります。

qbitt-外部

この場合、攻撃者は qBittorrent クライアントに、トレントの完了時に基本的なスクリプトを実行するように指示しました。 スクリプトはドメイン http://cdnsrv.in にアクセスし、そこから update.sh というファイルをダウンロードして実行しました。 その結果は次のとおりです teckさんに詳しく説明していただきましたですが、重要な点は、a) ホスト マシン上での不正なクリプトマイニング、b) 攻撃者が SSH キー認証を介してルート アクセスを維持していることです。

簡単に避けられる

qBittorrent のデフォルトの管理者ユーザー名は「admin」、デフォルトのパスワードは「adminadmin」です。 これらの共通知識のデフォルトがインストール後に変更されていた場合、攻撃者は Web インターフェイスを見つけたとしても、従来のアクセスに役立つ資格情報を持っていなかったでしょう。

もっと根本的に言えば、qBittorrent クライアントが最初から Web インターフェイスを公開するために UPnP を使用していなかった場合、正しい資格情報を所有することの価値は限られていたでしょう。 もう一歩下がって、ユーザーのルーターで UPnP が有効になっていなかったら、qBittorrent は UPnP にアクセスできず、ポートを転送したり、インターフェイスをインターネットに公開したりすることはできなかったでしょう。

要約すると、ルーターの UPnP を無効にし、その機能を完全に理解した後、絶対に必要な場合にのみ有効にします。 デフォルトのパスワードを変更しないでください。インターネットに公開する必要がないものは不必要に公開しないでください。

最後に、それは言及する価値があります テックProxmox や彼のスクリプトとは何の関係もない問題に対する、氏の対応は一流でした。 qBittorrent LXC をインストールしている人 ここから デフォルトの管理者パスワードが変更され、UPnP が自動的に無効になっていることがわかります。

節約された時間は、Plex、Tautulli、Emby、Jellyfin、Jellyseerr、Overseerr、Navidrome、Bazarr、Lidarr、Prowlarr、Radarr、Readarr、Sonarr、Tdarr、Whisparr などの自動インストールに費やすことができます。

Proxmox: オープンソースのタイプ 1 ハイパーバイザーproxmox-ss

スポット画像

最新のインテリジェンス

スポット画像

著作権 @ 2024 Plato Technologies Inc.