qBittorrent Web UI ใช้ประโยชน์จากการขุด Cryptocurrency: นี่คือวิธีแก้ไข

แม้ว่าฟังก์ชันการทำงานของไคลเอนต์ BitTorrent จะไม่เปลี่ยนแปลงโดยพื้นฐานในช่วง 20 ปีที่ผ่านมา แต่นักพัฒนาของลูกค้าชั้นนำก็ไม่ยอมให้ซอฟต์แวร์หยุดนิ่ง

ตัวอย่างที่ดีคือสิ่งที่ยอดเยี่ยม qBittorrentซึ่งเป็นไคลเอนต์โอเพ่นซอร์สที่มีฟีเจอร์หลากหลายซึ่งยังคงได้รับการอัพเดตเป็นประจำ เช่นเดียวกับไคลเอนต์ที่คล้ายกัน qBittorent ก็สามารถเป็นได้ พบใน GitHub พร้อมด้วยแหล่งที่มาและคำแนะนำในการติดตั้ง

ที่อื่นบนแพลตฟอร์มเดียวกัน เมื่อเร็ว ๆ นี้ผู้ใช้พยายามค้นหาว่าการติดตั้ง qBittorrent มาตรฐานนำไปสู่การปรากฏตัวของซอฟต์แวร์การขุด cryptocurrency ที่ไม่พึงประสงค์บนเครื่องเดียวกันได้อย่างไร

Proxmox และ LXC

สำหรับผู้ที่ไม่คุ้นเคย พร็อกม็อกซ์ วีอีมันเป็นสภาพแวดล้อมสำหรับเครื่องเสมือนที่เคยลองใช้แล้วมีประโยชน์มากและรวดเร็วมาก นอกจากนี้ยังฟรีสำหรับมนุษย์ทั่วไป และในกรณีส่วนใหญ่ ติดตั้งและเริ่มต้นใช้งานได้ง่ายมาก

ด้วยความช่วยเหลือจาก 'สคริปต์ตัวช่วย' ของ Proxmox ที่นำเสนอโดย ตรวจสอบบน GitHub (ตัวอย่างเล็ก ๆ ทางด้านขวา) แม้แต่ผู้เริ่มต้นก็สามารถติดตั้งแพ็คเกจซอฟต์แวร์ที่มีอยู่หลายสิบชุดได้ในเวลาไม่กี่วินาที ตู้คอนเทนเนอร์ LXC.

ถึงแม้จะไม่มีอะไรสมเหตุสมผล แต่ก็ไม่สำคัญ ตัวอย่างเช่นผู้ที่ต้องการติดตั้ง qBittorrent สามารถคัดลอกและวางข้อความบรรทัดเดียวลงใน Proxmox... เท่านี้ก็เรียบร้อย เนื่องจากกระบวนการทั้งหมดแทบจะไร้ที่ติเสมอไป ปัญหาของผู้ใช้จึงเกิดขึ้นน้อยมาก ดังนั้นการได้ยินว่าอาจมีการติดมัลแวร์จึงเป็นเรื่องที่น่าตกใจอย่างยิ่งเมื่อเร็ว ๆ นี้

การค้นพบ Cryptominer

โดยสรุป ผู้ใช้ Proxmox ปรับใช้สคริปต์ ttek เพื่อติดตั้ง qBittorrent และหนึ่งเดือนต่อมาก็พบว่าเครื่องของเขาทำงานหนักโดยซอฟต์แวร์ขุดคริปโตที่เรียกว่า xmrig. ขณะที่เขาตรวจสอบปัญหา ttek ได้ลบสคริปต์ qBittorrent LXC ออกเพื่อเป็นการป้องกันเบื้องต้น แต่ในไม่ช้าก็เห็นได้ชัดว่าทั้ง Proxmox หรือสคริปต์ของ ttek ไม่มีส่วนเกี่ยวข้องกับปัญหาดังกล่าว

ซอฟต์แวร์ที่ไม่พึงประสงค์ได้รับการติดตั้งอย่างเป็นอันตราย แต่เนื่องมาจากเหตุการณ์ต่างๆ ที่สามารถหลีกเลี่ยงได้ แทนที่จะเป็นการแฮ็กอัจฉริยะ

เมื่อการติดตั้ง qBittorrent ในลักษณะนี้เสร็จสมบูรณ์และซอฟต์แวร์เปิดตัว การเข้าถึง qBittorent จะเกิดขึ้นผ่านอินเทอร์เฟซเว็บที่สามารถเข้าถึงได้จากเว็บเบราว์เซอร์ส่วนใหญ่ ตามค่าเริ่มต้น qBittorrent จะใช้พอร์ต 8080 และเนื่องจากผู้ใช้จำนวนมากต้องการเข้าถึงไคลเอนต์ทอร์เรนต์จากเครือข่ายระยะไกล qBittorrent จึงใช้ UPnP (Universal Plug and Play) เพื่อทำการส่งต่อพอร์ตโดยอัตโนมัติ ดังนั้นจึงเปิดเผยอินเทอร์เฟซเว็บไปยังอินเทอร์เน็ต

การทำงานในเวลาที่บันทึกไว้เป็นสิ่งที่ดีมาก แต่นั่นไม่ได้หมายความว่าจะปลอดภัย เพื่อให้แน่ใจว่ามีเพียงผู้ปฏิบัติงานของไคลเอนต์เท่านั้นที่สามารถเข้าถึงเว็บอินเตอร์เฟส qBittorrent อนุญาตให้ผู้ใช้กำหนดค่าชื่อผู้ใช้และรหัสผ่านเพื่อวัตถุประสงค์ในการตรวจสอบสิทธิ์

โดยทั่วไปหมายความว่าผู้ที่สัญจรไปมาโดยสุ่มจะต้องมีข้อมูลรับรองเหล่านี้ก่อนจึงจะสามารถสร้างความเสียหายได้ ในกรณีนี้ ชื่อผู้ใช้และรหัสผ่านเริ่มต้นของผู้ดูแลระบบจะไม่เปลี่ยนแปลง และทำให้ผู้โจมตีสามารถเข้าถึงอินเทอร์เฟซเว็บได้อย่างง่ายดาย

ผู้โจมตีบอกให้ qBittorrent รันโปรแกรมภายนอก

เพื่อให้ผู้ใช้สามารถทำงานต่างๆ ที่เกี่ยวข้องกับการดาวน์โหลดและการจัดระเบียบไฟล์ได้โดยอัตโนมัติ qBittorrent จึงมีฟีเจอร์ที่สามารถเรียกใช้โปรแกรมภายนอกได้โดยอัตโนมัติเมื่อมีการเพิ่มทอร์เรนต์ และ/หรือเมื่อทอร์เรนต์เสร็จสิ้น

ตัวเลือกที่นี่ถูกจำกัดด้วยจินตนาการและทักษะของผู้ใช้เท่านั้น แต่น่าเสียดายที่สิ่งนี้ใช้ได้กับผู้โจมตีที่สามารถเข้าถึงเว็บอินเทอร์เฟซของไคลเอนต์ได้

ในกรณีนี้ ผู้โจมตีบอกให้ไคลเอนต์ qBittorrent ให้เรียกใช้สคริปต์พื้นฐานเมื่อทอร์เรนต์เสร็จสิ้น สคริปต์เข้าถึงโดเมน http://cdnsrv.in จากตำแหน่งที่ดาวน์โหลดไฟล์ชื่อ update.sh จากนั้นจึงเรียกใช้ ผลที่ตามมาก็คือ อธิบายอย่างละเอียดโดย ttekแต่ประเด็นหลักคือ ก) การขุดคริปโตโดยไม่ได้รับอนุญาตบนเครื่องโฮสต์ และ ข) ผู้โจมตีที่ดูแลการเข้าถึงรูทผ่านการตรวจสอบสิทธิ์คีย์ SSH

หลีกเลี่ยงได้ง่าย

ชื่อผู้ใช้ผู้ดูแลระบบเริ่มต้นสำหรับ qBittorrent คือ 'admin' ในขณะที่รหัสผ่านเริ่มต้นคือ 'adminadmin' หากค่าเริ่มต้นความรู้ทั่วไปเหล่านี้มีการเปลี่ยนแปลงหลังการติดตั้ง ผู้โจมตีจะยังคงพบอินเทอร์เฟซเว็บ แต่ไม่มีข้อมูลรับรองที่เป็นประโยชน์สำหรับการเข้าถึงแบบทั่วไป

โดยพื้นฐานแล้ว การครอบครองข้อมูลรับรองที่ถูกต้องจะมีค่าจำกัด หากไคลเอ็นต์ qBittorrent ไม่ได้ใช้ UPnP เพื่อเปิดเผยอินเทอร์เฟซเว็บตั้งแต่แรก ย้อนกลับไปอีกขั้นหนึ่ง หากไม่ได้เปิดใช้งาน UPnP ในเราเตอร์ของผู้ใช้ qBittorrent จะไม่สามารถเข้าถึง UPnP และจะไม่สามารถส่งต่อพอร์ตหรือเปิดเผยอินเทอร์เฟซไปยังอินเทอร์เน็ตได้

โดยสรุป: ปิดการใช้งาน UPnP ในเราเตอร์ และเปิดใช้งานเฉพาะเมื่อเข้าใจฟังก์ชันอย่างสมบูรณ์และเมื่อจำเป็นจริงๆ เท่านั้น อย่าปล่อยให้รหัสผ่านเริ่มต้นไม่เปลี่ยนแปลง และหากมีบางสิ่งที่ไม่จำเป็นต้องเปิดเผยบนอินเทอร์เน็ต ก็อย่าเปิดเผยโดยไม่จำเป็น

สุดท้ายนี้ต้องบอกเลยว่า เต็กการตอบสนองต่อปัญหาที่ไม่เกี่ยวข้องกับ Proxmox หรือสคริปต์ของเขาก็ถือเป็นการตอบสนองในระดับเฟิร์สคลาส ใครก็ตามที่ติดตั้ง qBittorrent LXC จากที่นี่ จะพบว่ารหัสผ่านผู้ดูแลระบบเริ่มต้นมีการเปลี่ยนแปลงและ UPnP ถูกปิดใช้งานโดยอัตโนมัติ

เวลาที่บันทึกไว้สามารถใช้กับการติดตั้งอัตโนมัติของ Plex, Tautulli, Emby, Jellyfin, Jellyseerr, Overseerr, Navidrome, Bazarr, Lidarr, Prowlarr, Radarr, Readarr, Sonarr, Tdarr, Whisparr และอื่นๆ อีกมากมาย

Proxmox: ไฮเปอร์ไวเซอร์โอเพ่นซอร์สประเภท 1

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. ยานยนต์ / EVs, คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
• ChartPrime. ยกระดับเกมการซื้อขายของคุณด้วย ChartPrime เข้าถึงได้ที่นี่.
• BlockOffsets การปรับปรุงการเป็นเจ้าของออฟเซ็ตด้านสิ่งแวดล้อมให้ทันสมัย เข้าถึงได้ที่นี่.
• ที่มา: https://torrentfreak.com/qbittorrent-web-ui-exploited-to-mine-cryptocurrency-heres-how-to-fix-230902/