בעוד שפונקציונליות הלקוח של BitTorrent לא השתנתה מהותית במהלך 20 השנים האחרונות, מפתחים של לקוחות מובילים לא נתנו לתוכנה שלהם לקפוא.
דוגמה טובה היא המעולה qBittorrent, לקוח קוד פתוח עשיר בתכונות שעדיין מקבל עדכונים שוטפים. במשותף עם לקוחות דומים, qBittorent יכול להיות נמצא ב-GitHub יחד עם המקור שלו והוראות ההתקנה.
במקומות אחרים באותה פלטפורמה, משתמשים ניסו לאחרונה להבין כיצד התקנת qBittorrent רגילה הובילה לפתע להופעה של תוכנת כריית מטבעות קריפטוגרפיים לא רצויים על אותה מכונה.
Proxmox ו-LXC
עבור אלה לא מוכר Proxmox VE, זוהי סביבה למכונות וירטואליות שברגע שניסתה הופכת להיות שימושית מאוד, במהירות רבה. זה גם בחינם לבני תמותה בלבד וברוב הנסיבות, קל מאוד להתקין ולהפעיל אותו.
בעזרת 'תסריטי עוזר' שונים של Proxmox המוצעים על ידי teck ב- GitHub (דוגמה קטנה מימין), אפילו מתחילים יכולים להתקין כל אחת מעשרות חבילות תוכנה זמינות תוך שניות מיכלי LXC.
גם אם שום דבר מזה לא הגיוני, זה לא משנה. מי שרוצה להתקין את qBittorrent, למשל, יכול להעתיק ולהדביק שורת טקסט בודדת לתוך Proxmox... וזהו. בהתחשב בכך שכל התהליך הוא כמעט תמיד ללא רבב, בעיות משתמש הן נדירות מאוד, אז לשמוע על זיהום אפשרי של תוכנות זדוניות היה הלם אמיתי לאחרונה
גילוי קריפטומינר
לסיכום, משתמש Proxmox פרס סקריפט teck להתקנת qBittorrent ולאחר מכן חודש לאחר מכן מצא את המחשב שלו עובד קשה על ידי תוכנת קריפטומין הידועה בשם xmrig. בזמן שהוא חקר את הבעיה, tteck הסיר את הסקריפט של qBittorrent LXC כאמצעי זהירות בסיסי, אך עד מהרה התברר שלא לפרוקסמוקס ולא לסקריפט של tteck שום קשר לבעיה.
התוכנה הבלתי רצויה אכן הותקנה בזדון, אך עקב סדרה של אירועים בלתי רצויים, ולא פריצה גאונית.
כאשר התקנת qBittorrent כמו זו מסתיימת והתוכנה מופעלת, הגישה ל-qBittorrent מתבצעת דרך ממשק אינטרנט הנגיש מרוב דפדפני האינטרנט. כברירת מחדל, qBittorrent משתמש ביציאה 8080 ומכיוון שמשתמשים רבים אוהבים לגשת ללקוחות הטורנט שלהם מרשתות מרוחקות, qBittorrent משתמש ב-UPnP (Universal Plug and Play) כדי להפוך את העברת הפורטים לאוטומטית, ובכך לחשוף את ממשק האינטרנט לאינטרנט.
זה עובד בזמן שיא הכל נחמד מאוד, אבל זה לא אומר שזה בטוח. כדי להבטיח שרק המפעיל של הלקוח יוכל לגשת לממשק האינטרנט, qBittorrent מאפשר למשתמש להגדיר שם משתמש וסיסמה למטרות אימות.
זה אומר בדרך כלל שעוברים ושבים אקראיים יצטרכו להחזיק את האישורים האלה לפני שיוכלו לגרום נזק. במקרה זה, ברירת המחדל של שם המשתמש והסיסמה של מנהל המערכת לא שונו וזה אפשר לתוקף לגשת בקלות לממשק האינטרנט.
התוקף אמר ל-qBittorrent להפעיל תוכנית חיצונית
כדי לאפשר למשתמשים לבצע אוטומציה של משימות שונות הקשורות להורדה וארגון הקבצים שלהם, ל-qBittorrent יש תכונה שיכולה להפעיל אוטומטית תוכנית חיצונית כאשר טורנט מתווסף ו/או כאשר טורנט מסתיים.
האפשרויות כאן מוגבלות רק על ידי הדמיון והמיומנות של המשתמש אך למרבה הצער אותו דבר חל על כל תוקף עם גישה לממשק האינטרנט של הלקוח.
במקרה זה התוקף אמר ללקוח qBittorrent להריץ סקריפט בסיסי עם השלמת טורנט. הסקריפט ניגש לדומיין http://cdnsrv.in משם הוא הוריד קובץ בשם update.sh ואז הפעיל אותו. ההשלכות של זה הן מוסבר בפירוט על ידי ttek, אבל הנקודות העיקריות הן א) קריפטומין לא מורשה במחשב המארח וב) התוקף שומר על גישת שורש באמצעות אימות מפתח SSH.
נמנע בקלות
שם המשתמש המוגדר כברירת מחדל עבור qBittorrent הוא 'admin' בעוד שסיסמת ברירת המחדל היא 'adminadmin'. אילו ברירות המחדל הרגילות הללו היו משתנות לאחר ההתקנה, התוקף עדיין היה מוצא את ממשק האינטרנט אך לא היו לו אישורים שימושיים לגישה קונבנציונלית.
באופן עקרוני יותר, החזקת האישורים הנכונים הייתה בעלת ערך מוגבל אם לקוח qBittorrent לא היה משתמש ב-UPnP כדי לחשוף את ממשק האינטרנט מלכתחילה. אם לוקחים צעד נוסף אחורה, אם UPnP לא היה מופעל בנתב של המשתמש, ל-qBittorrent לא הייתה גישה ל-UPnP, ולא הייתה מסוגלת להעביר יציאות או לחשוף את הממשק לאינטרנט.
לסיכום: השבת את UPnP בנתב והפעל אותו רק לאחר שהפונקציה שלו מובנת במלואה וכאשר הכרחי לחלוטין. לעולם אל תשאיר סיסמאות ברירת מחדל ללא שינוי, ואם משהו לא צריך להיחשף לאינטרנט, אל תחשוף אותו שלא לצורך.
לבסוף, כדאי להזכיר את זה teckתגובתו, לבעיה שלא הייתה קשורה ל-Proxmox או לתסריטים שלו, הייתה מחלקה ראשונה. כל מי שמתקין את qBittorrent LXC מכאן ימצא את סיסמת ברירת המחדל של מנהל המערכת השתנתה ו-UPnP מושבת באופן אוטומטי.
ניתן להשקיע כל זמן שנחסך בהתקנות אוטומטיות של Plex, Tautulli, Emby, Jellyfin, Jellyseerr, Overseerr, Navidrome, Bazarr, Lidarr, Prowlarr, Radarr, Readarr, Sonarr, Tdarr, Whisparr, ועוד רבים, רבים.
Proxmox: Hypervisor מסוג קוד פתוח מסוג 1
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. רכב / רכבים חשמליים, פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- ChartPrime. הרם את משחק המסחר שלך עם ChartPrime. גישה כאן.
- BlockOffsets. מודרניזציה של בעלות על קיזוז סביבתי. גישה כאן.
- מקור: https://torrentfreak.com/qbittorrent-web-ui-exploited-to-mine-cryptocurrency-heres-how-to-fix-230902/
- :יש ל
- :הוא
- :לֹא
- :איפה
- $ למעלה
- 1
- 20
- שנים 20
- 200
- 250
- 610
- a
- יכול
- בהחלט
- גישה
- נצפה
- נגיש
- הוסיף
- מנהל
- תעשיות
- להתיר
- מותר
- מאפשר
- כמעט
- לאורך
- גם
- תמיד
- an
- ו
- אחר
- כל
- כל אחד
- דבר
- ARE
- AS
- אימות
- אוטומטי
- אוטומטי
- באופן אוטומטי
- זמין
- b
- בחזרה
- בסיסי
- BE
- הפך
- הופך להיות
- היה
- לפני
- למתחילים
- להיות
- ביטורנט
- דפדפנים
- אבל
- by
- נקרא
- הגיע
- CAN
- מקרה
- השתנה
- בנסיבות
- בכיתה
- ברור
- לקוחות
- לקוחות
- Common
- הושלם
- השלמה
- השלכות
- מקובל
- לתקן
- אישורים
- מטבע מבוזר
- Cryptocurrency כרייה
- כריית קריפטו
- נזק
- בְּרִירַת מֶחדָל
- מחדל
- פרס
- פרט
- מפתחים
- נכה
- do
- לא
- תחום
- לא
- עשרות
- ראוי
- בקלות
- קל
- לאפשר
- מופעל
- לְהַבטִיחַ
- סביבה
- אֲפִילוּ
- אירועים
- דוגמה
- מצוין
- ומנוצל
- חשוף
- חיצוני
- מאוד
- מאפיין
- שלח
- קבצים
- ראשון
- לסדר
- הבא
- בעד
- קדימה
- מצא
- חופשי
- החל מ-
- לגמרי
- פונקציה
- פונקציונלי
- ביסודו
- בדרך כלל
- גאון
- לקבל
- GitHub
- נתן
- טוב
- לפרוץ
- היה
- קשה
- יש
- he
- לִשְׁמוֹעַ
- לעזור
- כאן
- שֶׁלוֹ
- המארח
- איך
- איך
- http
- HTTPS
- if
- דִמיוֹן
- in
- זיהום
- להתקין
- התקנה
- התקנה
- הוראות
- מִמְשָׁק
- אינטרנט
- אל תוך
- בעיות
- IT
- שֶׁלָה
- מפתח
- ידוע
- מאוחר יותר
- הושק
- מוביל
- יציאה
- הוביל
- כמו
- מוגבל
- קו
- מכונה
- מכונה
- ראשי
- שמירה
- עושה
- תוכנות זדוניות
- רב
- דבר
- max-width
- אומר
- אומר
- סתם
- כרייה
- תוכנת כרייה
- חוֹדֶשׁ
- יותר
- רוב
- הכרחי
- צורך
- לא זה ולא זה
- רשתות
- לעולם לא
- נחמד
- לא
- ללא חתימה
- שום דבר
- of
- מוצע
- on
- פעם
- רק
- לפתוח
- קוד פתוח
- מפעיל
- אפשרויות
- or
- ארגון
- הַחוּצָה
- יותר
- חבילות
- סיסמה
- סיסמאות
- עבר
- מקום
- פלטפורמה
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- לְשַׂחֵק
- plex
- תקע
- Plug and Play
- נקודות
- יציאות
- להחזיק
- רְשׁוּת
- אפשרי
- בעיה
- תהליך
- תָכְנִית
- למטרות
- מהירות
- אקראי
- נדיר
- במקום
- ממשי
- מקבל
- לאחרונה
- שיא
- רגיל
- קָשׁוּר
- מרחוק
- הוסר
- תגובה
- תקין
- שורש
- גישה שורש
- נתב
- הפעלה
- ריצה
- בטוח
- אותו
- סקריפטים
- שניות
- תחושה
- סדרה
- דומה
- since
- יחיד
- מְיוּמָנוּת
- קטן
- So
- תוכנה
- משהו
- בקרוב
- מָקוֹר
- בילה
- תֶקֶן
- שלב
- עוד
- סיכום
- לוקח
- נטילת
- משימות
- מֵאֲשֶׁר
- זֶה
- השמיים
- שֶׁלָהֶם
- אז
- בכך
- אלה
- זֶה
- אלה
- דרך
- זמן
- ל
- Torrent
- ניסיתי
- סוג
- ui
- הבין
- זָר
- לצערי
- אוניברסלי
- ללא צורך
- לא רצוי
- עדכון
- עדכונים
- מְשׁוּמָשׁ
- משתמש
- משתמשים
- שימושים
- באמצעות
- ערך
- שונים
- מאוד
- באמצעות
- וירטואלי
- רוצה
- היה
- אינטרנט
- דפדפני אינטרנט
- היו
- מתי
- אשר
- בזמן
- מי
- כל
- יצטרך
- עם
- תיק עבודות
- להתאמן
- עבד
- עובד
- ראוי
- היה
- שנים
- זפירנט