Въпреки че функционалността на BitTorrent клиента не се е променила фундаментално през последните 20 години, разработчиците на водещи клиенти не са позволили софтуера им да стагнира.
Добър пример е отличното qBittorrent, богат на функции клиент с отворен код, който все още получава редовни актуализации. Подобно на подобни клиенти, qBittorent може да бъде намерени в GitHub заедно с неговия източник и инструкции за инсталиране.
Другаде на същата платформа потребителите наскоро се опитваха да разберат как стандартна инсталация на qBittorrent внезапно доведе до появата на нежелан софтуер за копаене на криптовалута на същата машина.
Proxmox и LXC
За незапознатите Proxmox VE, това е среда за виртуални машини, която веднъж изпробвана става много полезна, изключително бързо. Освен това е безплатен за обикновените смъртни и в повечето случаи много лесен за инсталиране и стартиране.
С помощта на различни „помощни скриптове“ на Proxmox, предлагани от tteck в GitHub (малка проба вдясно), дори начинаещите могат да инсталират някой от десетките налични софтуерни пакети за секунди, използвайки LXC контейнери.
Дори нищо от това да няма смисъл, няма значение. Тези, които искат инсталиран qBittorrent например, могат да копират и поставят един ред текст в Proxmox… и това е всичко. Като се има предвид, че целият процес е почти винаги безупречен, потребителските проблеми са много редки, така че да чуем за възможна инфекция със злонамерен софтуер наскоро беше истински шок
Откриване на Cryptominer
В обобщение, потребител на Proxmox разположи tteck скрипт, за да инсталира qBittorrent и след това един месец по-късно установи, че неговата машина се натоварва усилено от софтуер за криптодобив, известен като xmrig. Докато проучваше проблема, tteck премахна скрипта qBittorrent LXC като основна предпазна мярка, но скоро стана ясно, че нито Proxmox, нито скриптът на tteck имат нещо общо с проблема.
Нежеланият софтуер наистина е инсталиран злонамерено, но поради поредица от избегнати събития, а не поради гениален хак.
Когато инсталация на qBittorrent като тази завърши и софтуерът се стартира, достъпът до qBittorrent се осъществява чрез уеб интерфейс, достъпен от повечето уеб браузъри. По подразбиране qBittorrent използва порт 8080 и тъй като много потребители обичат да имат достъп до своите торент клиенти от отдалечени мрежи, qBittorrent използва UPnP (Universal Plug and Play), за да автоматизира препращането на портове, като по този начин излага уеб интерфейса на интернет.
Всичко това да работи за рекордно кратко време е много хубаво, но това не означава, че е безопасно. За да се гарантира, че само операторът на клиента има достъп до уеб интерфейса, qBittorrent позволява на потребителя да конфигурира потребителско име и парола за целите на удостоверяването.
Това обикновено означава, че случайни минувачи ще трябва да притежават тези идентификационни данни, преди да могат да нанесат щети. В този случай потребителското име и паролата на администратора по подразбиране не бяха променени и това позволи на атакуващия лесно да получи достъп до уеб интерфейса.
Нападателят каза на qBittorrent да стартира външна програма
За да позволи на потребителите да автоматизират различни задачи, свързани с изтеглянето и организирането на техните файлове, qBittorrent има функция, която може автоматично да стартира външна програма, когато се добави торент и/или когато торентът приключи.
Опциите тук са ограничени само от въображението и уменията на потребителя, но за съжаление същото се отнася за всеки нападател с достъп до уеб интерфейса на клиента.
В този случай нападателят каза на клиента qBittorrent да изпълни основен скрипт при завършване на торент. Скриптът получи достъп до домейна http://cdnsrv.in, откъдето изтегли файл, наречен update.sh, и след това го стартира. Последствията от това са обяснено подробно от tteckно основните моменти са а) неоторизирано криптиране на хост машината и б) атакуващият поддържа root достъп чрез удостоверяване на SSH ключ.
Лесно се избягва
Потребителското име на администратор по подразбиране за qBittorrent е „admin“, докато паролата по подразбиране е „adminadmin“. Ако тези общи познания по подразбиране бяха променени след инсталирането, атакуващият пак щеше да намери уеб интерфейса, но нямаше да има полезни идентификационни данни за конвенционален достъп.
По-фундаментално, притежаването на правилните идентификационни данни би имало ограничена стойност, ако клиентът на qBittorrent не беше използвал UPnP, за да изложи уеб интерфейса на първо място. Връщайки се още една крачка назад, ако UPnP не беше активиран в рутера на потребителя, qBittorrent нямаше да има достъп до UPnP и нямаше да може да пренасочва портове или да излага интерфейса на интернет.
В обобщение: деактивирайте UPnP в рутера и го активирайте само след като функцията му е напълно разбрана и когато е абсолютно необходимо. Никога не оставяйте паролите по подразбиране непроменени и ако нещо не трябва да бъде изложено в интернет, не го излагайте ненужно.
И накрая, струва си да споменем това tteckОтговорът на на проблем, който нямаше нищо общо с Proxmox или неговите скриптове, беше първокласен. Всеки, който инсталира qBittorrent LXC оттук ще намери администраторската парола по подразбиране променена и UPnP автоматично деактивиран.
Всяко спестено време може да се изразходва за автоматизирани инсталации на Plex, Tautulli, Emby, Jellyfin, Jellyseerr, Overseerr, Navidrome, Bazarr, Lidarr, Prowlarr, Radarr, Readarr, Sonarr, Tdarr, Whisparr и много, много други.
Публикациите се превеждат автоматично с google translate
Източник: torrentfreak.com
