Hoewel de functionaliteit van de BitTorrent-client de afgelopen twintig jaar niet fundamenteel is veranderd, hebben ontwikkelaars van toonaangevende clients hun software niet laten stagneren.
Een goed voorbeeld is Excellent qBittorrent, een open source-client met veel functies die nog steeds regelmatig updates ontvangt. Net als vergelijkbare klanten kan qBittorent dat zijn gevonden op GitHub samen met de bron- en installatie-instructies.
Elders op hetzelfde platform probeerden gebruikers onlangs uit te zoeken hoe een standaard qBittorrent-installatie plotseling leidde tot het verschijnen van ongewenste cryptocurrency-miningsoftware op dezelfde machine.
Proxmox en LXC
Voor wie onbekend is Proxmox VE, het is een omgeving voor virtuele machines die, eenmaal geprobeerd, extreem snel erg nuttig wordt. Het is ook gratis voor gewone stervelingen en in de meeste gevallen heel eenvoudig te installeren en aan de slag te gaan.
Met hulp van verschillende Proxmox 'helperscripts' aangeboden door tteck op GitHub (klein voorbeeld aan de rechterkant), zelfs beginners kunnen binnen enkele seconden een van de tientallen beschikbare softwarepakketten installeren LXC-containers.
Ook al is dat allemaal niet logisch, het maakt niet uit. Degenen die bijvoorbeeld qBittorrent geïnstalleerd willen hebben, kunnen een enkele regel tekst in Proxmox kopiëren en plakken... en dat is alles. Aangezien het hele proces bijna altijd vlekkeloos verloopt, zijn gebruikersproblemen zeer zeldzaam, dus het horen van een mogelijke malware-infectie kwam de laatste tijd als een echte schok.
Cryptominer-ontdekking
Samenvattend implementeerde een Proxmox-gebruiker een tteck-script om qBittorrent te installeren en een maand later ontdekte hij dat zijn machine hard werd bewerkt door cryptomining-software bekend als xmrig. Terwijl hij het probleem onderzocht, verwijderde tteck het qBittorrent LXC-script als basisvoorzorgsmaatregel, maar het werd al snel duidelijk dat noch Proxmox, noch het script van tteck iets met het probleem te maken had.
De ongewenste software werd inderdaad kwaadwillig geïnstalleerd, maar het gevolg van een reeks vermijdbare gebeurtenissen en niet van een geniale hack.
Wanneer een dergelijke qBittorrent-installatie is voltooid en de software wordt gestart, vindt toegang tot qBittorent plaats via een webinterface die toegankelijk is vanuit de meeste webbrowsers. Standaard gebruikt qBittorrent poort 8080 en omdat veel gebruikers graag toegang hebben tot hun torrent-clients vanaf externe netwerken, gebruikt qBittorrent UPnP (Universal Plug and Play) om het doorsturen van poorten te automatiseren, waardoor de webinterface wordt blootgesteld aan internet.
Dat dit in een recordtijd werkt is allemaal heel fijn, maar dat betekent niet dat het veilig is. Om ervoor te zorgen dat alleen de operator van de client toegang heeft tot de webinterface, stelt qBittorrent de gebruiker in staat een gebruikersnaam en een wachtwoord te configureren voor authenticatiedoeleinden.
Dit betekent over het algemeen dat willekeurige voorbijgangers over deze inloggegevens moeten beschikken voordat ze schade kunnen aanrichten. In dit geval werden de standaard gebruikersnaam en het wachtwoord van de beheerder niet gewijzigd, waardoor een aanvaller gemakkelijk toegang kon krijgen tot de webinterface.
Aanvaller vertelde qBittorrent om een extern programma uit te voeren
Om gebruikers in staat te stellen verschillende taken met betrekking tot het downloaden en organiseren van hun bestanden te automatiseren, heeft qBittorrent een functie die automatisch een extern programma kan uitvoeren wanneer een torrent wordt toegevoegd en/of wanneer een torrent is voltooid.
De opties hier worden alleen beperkt door de verbeeldingskracht en vaardigheden van de gebruiker, maar helaas geldt hetzelfde voor elke aanvaller met toegang tot de webinterface van de klant.
In dit geval vertelde de aanvaller de qBittorrent-client om een basisscript uit te voeren na voltooiing van een torrent. Het script kreeg toegang tot het domein http://cdnsrv.in, waar het een bestand met de naam update.sh downloadde en het vervolgens uitvoerde. De gevolgen daarvan zijn uitvoerig uitgelegd door tteck, maar de belangrijkste punten zijn a) ongeautoriseerde cryptomining op de hostmachine en b) de aanvaller behoudt root-toegang via SSH-sleutelauthenticatie.
Gemakkelijk te vermijden
De standaard beheerdersgebruikersnaam voor qBittorrent is 'admin', terwijl het standaardwachtwoord 'adminadmin' is. Als deze algemeen bekende standaardinstellingen na de installatie waren gewijzigd, zou de aanvaller de webinterface nog steeds hebben gevonden, maar zou hij geen bruikbare inloggegevens hebben gehad voor conventionele toegang.
Meer fundamenteel zou het bezit van de juiste inloggegevens een beperkte waarde hebben gehad als de qBittorrent-client überhaupt geen UPnP had gebruikt om de webinterface bloot te leggen. Nog een stap terug: als UPnP niet was ingeschakeld in de router van de gebruiker, zou qBittorrent geen toegang hebben gehad tot UPnP en niet in staat zijn geweest poorten door te sturen of de interface bloot te stellen aan internet.
Samenvattend: schakel UPnP in de router uit en schakel het pas in als de functie ervan volledig begrepen wordt en als het absoluut noodzakelijk is. Laat standaardwachtwoorden nooit ongewijzigd, en als iets niet aan internet moet worden blootgesteld, stel het dan niet onnodig bloot.
Tot slot is het vermeldenswaard dat teck's reactie op een probleem dat niets met Proxmox of zijn scripts te maken had, was eersteklas. Iedereen die de qBittorrent LXC installeert vanaf hier zal het standaard beheerderswachtwoord gewijzigd zijn en UPnP automatisch uitgeschakeld worden.
Alle bespaarde tijd kan worden besteed aan geautomatiseerde installaties van Plex, Tautulli, Emby, Jellyfin, Jellyseerr, Overseerr, Navidrome, Bazarr, Lidarr, Prowlarr, Radarr, Readarr, Sonarr, Tdarr, Whisparr en nog veel, veel meer.
Proxmox: een open source type 1 hypervisor
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. Automotive / EV's, carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- ChartPrime. Verhoog uw handelsspel met ChartPrime. Toegang hier.
- BlockOffsets. Eigendom voor milieucompensatie moderniseren. Toegang hier.
- Bron: https://torrentfreak.com/qbittorrent-web-ui-exploited-to-mine-cryptocurrency-heres-how-to-fix-230902/
- : heeft
- :is
- :niet
- :waar
- $UP
- 1
- 20
- 20 jaar
- 200
- 250
- 610
- a
- in staat
- absoluut
- toegang
- geraadpleegde
- beschikbaar
- toegevoegd
- beheerder
- Alles
- toelaten
- toegestaan
- toestaat
- bijna
- langs
- ook
- altijd
- an
- en
- Nog een
- elke
- iedereen
- iets
- ZIJN
- AS
- authenticatie
- automatiseren
- geautomatiseerde
- webmaster.
- Beschikbaar
- b
- terug
- basis-
- BE
- werd
- wordt
- geweest
- vaardigheden
- beginners
- wezen
- BitTorrent
- browsers
- maar
- by
- Dit betekent dat we onszelf en onze geliefden praktisch vergiftigen.
- kwam
- CAN
- geval
- veranderd
- situatie
- klasse
- duidelijk
- klant
- klanten
- Gemeen
- voltooit
- voltooiing
- Gevolgen
- conventioneel
- te corrigeren
- Geloofsbrieven
- cryptogeld
- Cryptocurrency Mining
- cryptomining
- schade
- Standaard
- defaults
- ingezet
- detail
- ontwikkelaars
- invalide
- do
- Nee
- domein
- Dont
- tientallen
- twee
- gemakkelijk
- En het is heel gemakkelijk
- in staat stellen
- ingeschakeld
- verzekeren
- Milieu
- Zelfs
- EVENTS
- voorbeeld
- uitstekend
- Exploited
- blootgestelde
- extern
- uiterst
- Kenmerk
- Dien in
- Bestanden
- VIND DE PLEK DIE PERFECT VOOR JOU IS
- Voornaam*
- Bepalen
- volgend
- Voor
- Naar voren
- gevonden
- Gratis
- oppompen van
- geheel
- functie
- functionaliteit
- fundamenteel
- algemeen
- genie
- krijgen
- GitHub
- gegeven
- goed
- houwen
- HAD
- Hard
- Hebben
- he
- horen
- hulp
- hier
- zijn
- gastheer
- Hoe
- How To
- http
- HTTPS
- if
- verbeelding
- in
- infectie
- installeren
- installatie
- installeren
- instructies
- Interface
- Internet
- in
- problemen
- IT
- HAAR
- sleutel
- bekend
- later
- gelanceerd
- leidend
- Verlof
- LED
- als
- Beperkt
- Lijn
- machine
- Machines
- Hoofd
- behoud van
- MERKEN
- malware
- veel
- Materie
- max-width
- gemiddelde
- middel
- meer
- Mijnbouw
- Mijnbouwsoftware
- Maand
- meer
- meest
- noodzakelijk
- Noodzaak
- Noch
- netwerken
- nooit
- mooi
- geen
- Geen
- niets
- of
- aangeboden
- on
- eens
- Slechts
- open
- open source
- operator
- Opties
- or
- organiserende
- uit
- over
- Paketten
- Wachtwoord
- wachtwoorden
- verleden
- plaats
- platform
- Plato
- Plato gegevensintelligentie
- PlatoData
- Spelen
- plex
- stekker
- plug and play
- punten
- havens
- bezitten
- bezit
- mogelijk
- probleem
- Programma
- doeleinden
- snel
- willekeurige
- BIJZONDER
- liever
- vast
- ontvangt
- onlangs
- record
- regelmatig
- verwant
- vanop
- verwijderd
- antwoord
- rechts
- wortel
- Root toegang
- router
- lopen
- lopend
- veilig
- dezelfde
- scripts
- seconden
- zin
- -Series
- gelijk
- sinds
- single
- bekwaamheid
- Klein
- So
- Software
- iets
- Spoedig
- bron
- besteed
- standaard
- Stap voor
- Still
- OVERZICHT
- neemt
- het nemen
- taken
- neem contact
- dat
- De
- hun
- harte
- daarbij
- Deze
- dit
- die
- Door
- niet de tijd of
- naar
- stortvloed
- probeerden
- type dan:
- ui
- begrijpelijk
- onbekend
- helaas
- Universeel
- onnodig
- ongewenste
- bijwerken
- updates
- gebruikt
- Gebruiker
- gebruikers
- toepassingen
- gebruik
- waarde
- divers
- zeer
- via
- Virtueel
- willen
- was
- web
- web browsers
- waren
- wanneer
- welke
- en
- WIE
- geheel
- wil
- Met
- Mijn werk
- uitwerken
- werkte
- werkzaam
- waard
- zou
- jaar
- zephyrnet
