{"id":5462,"date":"2023-09-07T16:45:42","date_gmt":"2023-09-07T16:45:42","guid":{"rendered":"https:\/\/toukiela.com\/exploitation-de-linterface-web-de-qbittorrent-pour-miner-de-la-cryptomonnaie-decouvrez-comment-resoudre-ce-probleme-rapidement\/"},"modified":"2023-09-07T16:45:53","modified_gmt":"2023-09-07T16:45:53","slug":"exploitation-de-linterface-web-de-qbittorrent-pour-miner-de-la-cryptomonnaie-decouvrez-comment-resoudre-ce-probleme-rapidement","status":"publish","type":"post","link":"https:\/\/toukiela.com\/de\/ausbeutung-der-web-schnittstelle-von-qbittorrent-um-kryptowahrung-zu-minen-entdecken-wie-man-dieses-problem-schnell-losen-kann\/","title":{"rendered":"Ausnutzung der Webschnittstelle von qBittorrent zum Sch\u00fcrfen von Kryptow\u00e4hrung: Erfahren Sie, wie Sie dieses Problem schnell beheben k\u00f6nnen!"},"content":{"rendered":"<p><em><\/em><\/p>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Inhaltsverzeichnis<\/p>\n<label for=\"ez-toc-cssicon-toggle-item-69f1da476c8b9\" class=\"ez-toc-cssicon-toggle-label\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewbox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewbox=\"0 0 24 24\" version=\"1.2\" baseprofile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/label><input type=\"checkbox\"  id=\"ez-toc-cssicon-toggle-item-69f1da476c8b9\"  aria-label=\"Toggle\" \/><nav><ul class='ez-toc-list ez-toc-list-level-1' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/toukiela.com\/de\/ausbeutung-der-web-schnittstelle-von-qbittorrent-um-kryptowahrung-zu-minen-entdecken-wie-man-dieses-problem-schnell-losen-kann\/#Les_evolutions_de_qBittorrent\" >Die Entwicklungen von qBittorrent<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/toukiela.com\/de\/ausbeutung-der-web-schnittstelle-von-qbittorrent-um-kryptowahrung-zu-minen-entdecken-wie-man-dieses-problem-schnell-losen-kann\/#Proxmox_et_LXC\" >Proxmox und LXC<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/toukiela.com\/de\/ausbeutung-der-web-schnittstelle-von-qbittorrent-um-kryptowahrung-zu-minen-entdecken-wie-man-dieses-problem-schnell-losen-kann\/#Decouverte_du_cryptominer\" >Entdeckung des Kryptominer<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/toukiela.com\/de\/ausbeutung-der-web-schnittstelle-von-qbittorrent-um-kryptowahrung-zu-minen-entdecken-wie-man-dieses-problem-schnell-losen-kann\/#Lattaquant_a_ordonne_a_qBittorrent_dexecuter_un_programme_externe\" >Der Angreifer hat qBittorrent angewiesen, ein externes Programm auszuf\u00fchren<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/toukiela.com\/de\/ausbeutung-der-web-schnittstelle-von-qbittorrent-um-kryptowahrung-zu-minen-entdecken-wie-man-dieses-problem-schnell-losen-kann\/#Facilement_evitable\" >Leicht vermeidbar<\/a><\/li><\/ul><\/nav><\/div>\n<h2><span class=\"ez-toc-section\" id=\"Les_evolutions_de_qBittorrent\"><\/span>Die Entwicklungen von qBittorrent<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Die Funktionen von BitTorrent-Clients haben sich in den letzten 20 Jahren nicht grundlegend ge\u00e4ndert, aber die Entwickler der beliebtesten Clients haben ihre Software nicht stagnieren lassen.<\/p>\n<p>Ein gutes Beispiel ist das hervorragende qBittorrent, ein funktionsreicher Open-Source-Client, der regelm\u00e4\u00dfig aktualisiert wird. Wie andere \u00e4hnliche Clients kann qBittorrent auf GitHub gefunden werden, wo auch sein Quellcode und die Installationsanweisungen zu finden sind.<\/p>\n<p>Vor kurzem versuchten Nutzer derselben Plattform zu verstehen, wie die Standardinstallation von qBittorrent pl\u00f6tzlich dazu f\u00fchrte, dass auf demselben Rechner eine unerw\u00fcnschte Kryptow\u00e4hrungs-Mining-Software auftauchte.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Proxmox_et_LXC\"><\/span>Proxmox und LXC<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>F\u00fcr diejenigen, die Proxmox VE nicht kennen: Es handelt sich um eine Umgebung f\u00fcr virtuelle Maschinen, die sehr schnell sehr n\u00fctzlich wird, wenn man sie erst einmal ausprobiert hat. Au\u00dferdem ist sie f\u00fcr Normalsterbliche kostenlos und in den meisten F\u00e4llen sehr einfach zu installieren und zu verwenden.<\/p>\n<p>Mithilfe verschiedener \"Hilfsskripte\", die von tteck auf GitHub angeboten werden (kleines Beispiel rechts), k\u00f6nnen selbst Anf\u00e4nger mithilfe der LXC-Container in Sekundenschnelle eines der vielen verf\u00fcgbaren Softwarepakete installieren.<\/p>\n<p>Auch wenn das alles keinen Sinn ergibt, spielt es keine Rolle. Wer z. B. qBittorrent installieren will, kann eine einzige Textzeile in Proxmox kopieren und einf\u00fcgen - und das war's. Da der gesamte Prozess fast immer fehlerfrei abl\u00e4uft, sind Probleme von Nutzern sehr selten, daher war es \u00fcberraschend, vor kurzem von einer m\u00f6glichen Infektion mit Malware zu h\u00f6ren.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Decouverte_du_cryptominer\"><\/span>Entdeckung des Kryptominer<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Kurz gesagt: Ein Proxmox-Benutzer benutzte ein Skript von tteck, um qBittorrent zu installieren. Einen Monat sp\u00e4ter stellte er fest, dass sein Rechner intensiv von einer als xmrig bekannten Kryptow\u00e4hrungs-Mining-Software genutzt wurde. W\u00e4hrend er das Problem untersuchte, entfernte tteck vorsichtshalber das LXC-Skript von qBittorrent, aber es wurde schnell klar, dass weder Proxmox noch ttecks Skript etwas mit dem Problem zu tun hatten.<\/p>\n<p>Die unerw\u00fcnschte Software war tats\u00e4chlich b\u00f6swillig installiert worden, allerdings aufgrund einer Reihe von vermeidbaren Ereignissen und nicht aufgrund eines genialen Hackerangriffs.<\/p>\n<p>Wenn eine qBittorrent-Installation wie diese abgeschlossen ist und die Software gestartet wird, erfolgt der Zugriff auf qBittorrent \u00fcber ein Webinterface, das von den meisten Webbrowsern aus zug\u00e4nglich ist. Standardm\u00e4\u00dfig verwendet qBittorrent den Port 8080. Da viele Benutzer gerne \u00fcber entfernte Netzwerke auf ihre Torrent-Clients zugreifen, verwendet qBittorrent Universal Plug and Play (UPnP), um die Port-Weiterleitung zu automatisieren, wodurch die Weboberfl\u00e4che dem Internet ausgesetzt wird.<\/p>\n<p>Dies in Rekordzeit funktionsf\u00e4hig zu haben, ist sehr angenehm, aber es bedeutet nicht, dass es sicher ist. Um sicherzustellen, dass nur der Betreiber des Clients auf das Webinterface zugreifen kann, erlaubt qBittorrent dem Benutzer, einen Benutzernamen und ein Passwort zu Authentifizierungszwecken einzurichten.<\/p>\n<p>Das bedeutet in der Regel, dass zuf\u00e4llige Passanten diese Anmeldeinformationen besitzen m\u00fcssen, bevor sie Schaden anrichten k\u00f6nnen. In diesem Fall wurden der Standardbenutzername und das Standardpasswort f\u00fcr den Administrator nicht ge\u00e4ndert, sodass ein Angreifer problemlos auf die Weboberfl\u00e4che zugreifen konnte.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Lattaquant_a_ordonne_a_qBittorrent_dexecuter_un_programme_externe\"><\/span>Der Angreifer hat qBittorrent angewiesen, ein externes Programm auszuf\u00fchren<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Damit die Benutzer verschiedene Aufgaben im Zusammenhang mit dem Herunterladen und Organisieren ihrer Dateien automatisieren k\u00f6nnen, verf\u00fcgt qBittorrent \u00fcber eine Funktion, die automatisch ein externes Programm ausf\u00fchren kann, wenn ein Torrent hinzugef\u00fcgt wird und\/oder wenn ein Torrent beendet wird.<\/p>\n<p>Die Optionen hier sind nur durch die Vorstellungskraft und die F\u00e4higkeiten des Benutzers begrenzt, aber leider gilt dies auch f\u00fcr jeden Angreifer, der Zugriff auf die Webschnittstelle des Kunden hat.<\/p>\n<p>In diesem Fall wies der Angreifer den qBittorrent-Client an, am Ende eines Torrents ein Basisskript auszuf\u00fchren. Das Skript griff auf die Domain http:\/\/cdnsrv.in zu, von der es eine Datei namens update.sh herunterlud und dann ausf\u00fchrte. Die Folgen davon werden von tteck ausf\u00fchrlich erl\u00e4utert, die wichtigsten Punkte sind jedoch: a) unerlaubtes Mining von Kryptow\u00e4hrung auf dem Host-Rechner und b) Aufrechterhaltung des Root-Zugriffs durch SSH-Schl\u00fcsselauthentifizierung.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Facilement_evitable\"><\/span>Leicht vermeidbar<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Der Standard-Administrator-Benutzername von qBittorrent lautet \"admin\", w\u00e4hrend das Standard-Passwort \"adminadmin\" lautet. Wenn diese wohlbekannten Standardwerte nach der Installation ge\u00e4ndert worden w\u00e4ren, h\u00e4tte der Angreifer die Webschnittstelle trotzdem finden k\u00f6nnen, aber er h\u00e4tte keine n\u00fctzlichen Anmeldeinformationen f\u00fcr den normalen Zugriff gehabt.<\/p>\n<p>Grunds\u00e4tzlich h\u00e4tte der Besitz der richtigen Anmeldeinformationen nur einen begrenzten Wert gehabt, wenn der qBittorrent-Client nicht UPnP verwendet h\u00e4tte, um die Webschnittstelle \u00fcberhaupt erst freizulegen. Einen Schritt weiter gedacht: Wenn UPnP im Router des Benutzers nicht aktiviert gewesen w\u00e4re, h\u00e4tte qBittorrent keinen Zugriff auf UPnP gehabt und h\u00e4tte keine Ports umleiten oder die Schnittstelle dem Internet aussetzen k\u00f6nnen.<\/p>\n<p>Kurz gesagt: Deaktivieren Sie UPnP im Router und aktivieren Sie es nur, wenn seine Funktion vollst\u00e4ndig verstanden wird und absolut notwendig ist. Lassen Sie die Standardpassw\u00f6rter nie unver\u00e4ndert und wenn etwas nicht unbedingt dem Internet ausgesetzt sein muss, setzen Sie es nicht unn\u00f6tig aus.<\/p>\n<p>Schlie\u00dflich sollte noch erw\u00e4hnt werden, dass die Antwort von tteck, auf ein Problem, das nichts mit Proxmox oder seinen Skripten zu tun hatte, erstklassig war. Jeder, der von hier aus qBittorrent LXC installiert, wird feststellen, dass das Standard-Administratorpasswort ge\u00e4ndert und UPnP automatisch deaktiviert wurde.<\/p>\n<p>Jede gewonnene Zeit kann f\u00fcr die automatisierte Installation von Plex, Tautulli, Emby, Jellyfin, Jellyseerr, Overseerr, Navidrome, Bazarr, Lidarr, Prowlarr, Radarr, Readarr, Sonarr, Tdarr, Whisparr und vielen anderen verwendet werden.<\/p>\n<p><\/p><center><em>Proxmox: ein Open-Source-Hypervisor vom Typ 1<\/em><\/center>","protected":false},"excerpt":{"rendered":"","protected":false},"author":1,"featured_media":5464,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[586],"tags":[],"class_list":["post-5462","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-actu-tech","generate-columns","tablet-grid-50","mobile-grid-100","grid-parent","grid-50"],"_links":{"self":[{"href":"https:\/\/toukiela.com\/de\/wp-json\/wp\/v2\/posts\/5462","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/toukiela.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/toukiela.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/toukiela.com\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/toukiela.com\/de\/wp-json\/wp\/v2\/comments?post=5462"}],"version-history":[{"count":0,"href":"https:\/\/toukiela.com\/de\/wp-json\/wp\/v2\/posts\/5462\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/toukiela.com\/de\/wp-json\/wp\/v2\/media\/5464"}],"wp:attachment":[{"href":"https:\/\/toukiela.com\/de\/wp-json\/wp\/v2\/media?parent=5462"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/toukiela.com\/de\/wp-json\/wp\/v2\/categories?post=5462"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/toukiela.com\/de\/wp-json\/wp\/v2\/tags?post=5462"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}