Zephyrnet Logosu

Üretken Veri Zekası

Patentler

qBittorrent Web Kullanıcı Arayüzü Kripto Para Madenciliği İçin Kullanıldı: İşte Nasıl Düzeltilir

Plato tarafından yeniden yayınlandı
Plato tarafından yeniden yayınlandı

Tarih:

Görüntüleme: 97

qbittorrent-logosu

qbittorrent-logosuBitTorrent istemci işlevselliği son 20 yılda temel olarak değişmese de, önde gelen istemcilerin geliştiricileri yazılımlarının durgunlaşmasına izin vermedi.

İyi bir örnek mükemmel qBittorrenthala düzenli güncellemeler alan, zengin özelliklere sahip bir açık kaynak istemcisidir. Benzer istemcilerle ortak olarak qBittorent, GitHub'da bulundu kaynağı ve kurulum talimatlarıyla birlikte.

Aynı platformun başka yerlerinde, kullanıcılar son zamanlarda standart bir qBittorrent kurulumunun nasıl birdenbire aynı makinede istenmeyen kripto para madenciliği yazılımının ortaya çıkmasına yol açtığını çözmeye çalışıyorlardı.

Proxmox ve LXC

Hakkında yabancı olanlar için Proxmox VE, bir kez denendiğinde son derece hızlı bir şekilde çok kullanışlı hale gelen sanal makinelere yönelik bir ortamdır. Ayrıca ölümlüler için de ücretsizdir ve çoğu durumda kurulumu ve çalıştırılması çok kolaydır.

tteck-proxmox

tteck-proxmoxTarafından sunulan çeşitli Proxmox 'yardımcı komut dosyalarının' yardımıyla GitHub'da tteck (sağdaki küçük örnek), yeni başlayanlar bile mevcut düzinelerce yazılım paketinden herhangi birini kullanarak birkaç saniye içinde kurabilirler. LXC konteynerler.

Bunların hiçbiri mantıklı olmasa bile önemli değil. Örneğin, qBittorrent'in kurulmasını isteyenler tek satırlık bir metni kopyalayıp Proxmox'a yapıştırabilirler… hepsi bu. Tüm sürecin neredeyse her zaman kusursuz olduğu göz önüne alındığında, kullanıcı sorunları çok nadirdir, bu nedenle olası bir kötü amaçlı yazılım bulaşmasını duymak son zamanlarda gerçek bir şok oldu

Kripto madenci keşfi

Özetle, bir Proxmox kullanıcısı qBittorrent'i yüklemek için bir tteck betiği dağıttı ve bir ay sonra makinesinin, qBittorrent olarak bilinen kripto madencilik yazılımı tarafından yoğun şekilde çalıştırıldığını gördü. xmrig. Sorunu araştırırken Tteck, temel bir önlem olarak qBittorrent LXC komut dosyasını kaldırdı, ancak çok geçmeden ne Proxmox'un ne de Tteck'in komut dosyasının sorunla hiçbir ilgisi olmadığı anlaşıldı.

Hoş karşılanmayan yazılım gerçekten de kötü niyetli bir şekilde, ancak dahiyane bir saldırı yerine, bir dizi önlenebilir olay nedeniyle yüklendi.

Bunun gibi bir qBittorrent kurulumu tamamlandığında ve yazılım başlatıldığında, qBittorent'e erişim çoğu web tarayıcısından erişilebilen bir web arayüzü aracılığıyla gerçekleşir. Varsayılan olarak, qBittorrent 8080 numaralı bağlantı noktasını kullanır ve birçok kullanıcı torrent istemcilerine uzak ağlardan erişmeyi sevdiğinden, qBittorrent bağlantı noktası yönlendirmeyi otomatikleştirmek için UPnP'yi (Evrensel Tak ve Çalıştır) kullanır, böylece web arayüzünü internete açar.

qbit-webui

Bunun rekor sürede çalışması çok güzel ama bu güvenli olduğu anlamına gelmiyor. Web arayüzüne yalnızca istemcinin operatörünün erişebildiğinden emin olmak için qBittorrent, kullanıcının kimlik doğrulama amacıyla bir kullanıcı adı ve parola yapılandırmasına olanak tanır.

Bu genellikle yoldan geçen rastgele kişilerin hasar vermeden önce bu kimlik bilgilerine sahip olmaları gerektiği anlamına gelir. Bu durumda, varsayılan yönetici kullanıcı adı ve şifresi değiştirilmedi ve bu, bir saldırganın web arayüzüne kolayca erişmesine olanak tanıdı.

Saldırgan qBittorrent'e Harici Bir Program Çalıştırmasını Söyledi

Kullanıcıların dosyalarını indirme ve düzenlemeyle ilgili çeşitli görevleri otomatikleştirmesine olanak sağlamak için qBittorrent, torrent eklendiğinde ve/veya torrent bittiğinde otomatik olarak harici bir programı çalıştırabilen bir özelliğe sahiptir.

Buradaki seçenekler yalnızca kullanıcının hayal gücü ve becerisiyle sınırlıdır ancak ne yazık ki aynı durum, müşterinin web arayüzüne erişimi olan herhangi bir saldırgan için de geçerlidir.

qbitt-harici

Bu durumda saldırgan, qBittorrent istemcisine torrent tamamlandıktan sonra temel bir komut dosyası çalıştırmasını söyledi. Betik, http://cdnsrv.in alanına erişerek update.sh adlı dosyayı indirdi ve çalıştırdı. Bunun sonuçları Tteck tarafından ayrıntılı olarak açıklanmıştır, ancak ana noktalar a) ana makinede yetkisiz kripto madenciliği ve b) saldırganın SSH anahtar kimlik doğrulaması yoluyla kök erişimini sürdürmesidir.

Kolayca Önlenir

QBittorrent için varsayılan yönetici kullanıcı adı 'admin', varsayılan şifre ise 'adminadmin'dir. Bu yaygın bilgi varsayılanları yükleme sonrasında değiştirilmiş olsaydı, saldırgan yine de web arayüzünü bulabilirdi ancak geleneksel erişim için hiçbir kullanışlı kimlik bilgilerine sahip olmayacaktı.

Daha da önemlisi, qBittorrent istemcisi web arayüzünü açığa çıkarmak için UPnP'yi kullanmasaydı, doğru kimlik bilgilerine sahip olmanın değeri sınırlı olurdu. Bir adım daha geriye gidersek, eğer UPnP kullanıcının yönlendiricisinde etkinleştirilmemiş olsaydı, qBittorrent'in UPnP'ye erişimi olmayacaktı ve bağlantı noktalarını iletemeyecek veya arayüzü internete sunamayacaktı.

Özetle: yönlendiricideki UPnP'yi devre dışı bırakın ve yalnızca işlevi tam olarak anlaşıldıktan sonra ve kesinlikle gerekli olduğunda etkinleştirin. Varsayılan şifreleri hiçbir zaman değiştirmeden bırakmayın ve bir şeyin internete açık olması gerekmiyorsa, onu gereksiz yere ifşa etmeyin.

Son olarak şunu belirtmekte fayda var tckProxmox ya da senaryolarıyla hiçbir ilgisi olmayan bir soruna verdiği yanıt birinci sınıftı. QBittorrent LXC'yi yükleyen herkes buradan varsayılan yönetici şifresinin değiştirildiğini ve UPnP'nin otomatik olarak devre dışı bırakıldığını görecektir.

Kazanılan zaman Plex, Tautulli, Emby, Jellyfin, Jellyseerr, Overseerr, Navidrome, Bazarr, Lidarr, Prowlarr, Radarr, Readarr, Sonarr, Tdarr, Whisparr ve çok daha fazlasının otomatik kurulumuna harcanabilir.

Proxmox: Açık Kaynaklı Tip 1 Hiper Yöneticiproxmox-ss

spot_img

En Son İstihbarat

spot_img

Telif Hakkı @ 2024 Plato Technologies Inc.