{"id":5462,"date":"2023-09-07T16:45:42","date_gmt":"2023-09-07T16:45:42","guid":{"rendered":"https:\/\/toukiela.com\/exploitation-de-linterface-web-de-qbittorrent-pour-miner-de-la-cryptomonnaie-decouvrez-comment-resoudre-ce-probleme-rapidement\/"},"modified":"2023-09-07T16:45:53","modified_gmt":"2023-09-07T16:45:53","slug":"exploitation-de-linterface-web-de-qbittorrent-pour-miner-de-la-cryptomonnaie-decouvrez-comment-resoudre-ce-probleme-rapidement","status":"publish","type":"post","link":"https:\/\/toukiela.com\/es\/exploitation-de-linterface-web-de-qbittorrent-pour-miner-de-la-cryptomonnaie-decouvrez-comment-resoudre-ce-probleme-rapidement\/","title":{"rendered":"Exploitation de l&rsquo;interface Web de qBittorrent pour miner de la cryptomonnaie : D\u00e9couvrez comment r\u00e9soudre ce probl\u00e8me rapidement !"},"content":{"rendered":"<p><em><\/em><\/p>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Contenido<\/p>\n<label for=\"ez-toc-cssicon-toggle-item-69f231451a20e\" class=\"ez-toc-cssicon-toggle-label\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewbox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewbox=\"0 0 24 24\" version=\"1.2\" baseprofile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/label><input type=\"checkbox\"  id=\"ez-toc-cssicon-toggle-item-69f231451a20e\"  aria-label=\"Alternar\" \/><nav><ul class='ez-toc-list ez-toc-list-level-1' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/toukiela.com\/es\/exploitation-de-linterface-web-de-qbittorrent-pour-miner-de-la-cryptomonnaie-decouvrez-comment-resoudre-ce-probleme-rapidement\/#Les_evolutions_de_qBittorrent\" >Les \u00e9volutions de qBittorrent<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/toukiela.com\/es\/exploitation-de-linterface-web-de-qbittorrent-pour-miner-de-la-cryptomonnaie-decouvrez-comment-resoudre-ce-probleme-rapidement\/#Proxmox_et_LXC\" >Proxmox et LXC<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/toukiela.com\/es\/exploitation-de-linterface-web-de-qbittorrent-pour-miner-de-la-cryptomonnaie-decouvrez-comment-resoudre-ce-probleme-rapidement\/#Decouverte_du_cryptominer\" >D\u00e9couverte du cryptominer<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/toukiela.com\/es\/exploitation-de-linterface-web-de-qbittorrent-pour-miner-de-la-cryptomonnaie-decouvrez-comment-resoudre-ce-probleme-rapidement\/#Lattaquant_a_ordonne_a_qBittorrent_dexecuter_un_programme_externe\" >L\u2019attaquant a ordonn\u00e9 \u00e0 qBittorrent d\u2019ex\u00e9cuter un programme externe<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/toukiela.com\/es\/exploitation-de-linterface-web-de-qbittorrent-pour-miner-de-la-cryptomonnaie-decouvrez-comment-resoudre-ce-probleme-rapidement\/#Facilement_evitable\" >Facilement \u00e9vitable<\/a><\/li><\/ul><\/nav><\/div>\n<h2><span class=\"ez-toc-section\" id=\"Les_evolutions_de_qBittorrent\"><\/span>Les \u00e9volutions de qBittorrent<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Les fonctionnalit\u00e9s des clients BitTorrent n\u2019ont pas fondamentalement chang\u00e9 au cours des 20 derni\u00e8res ann\u00e9es, mais les d\u00e9veloppeurs des clients les plus populaires n\u2019ont pas laiss\u00e9 leurs logiciels stagner.<\/p>\n<p>Un bon exemple est l\u2019excellent qBittorrent, un client open source riche en fonctionnalit\u00e9s qui re\u00e7oit r\u00e9guli\u00e8rement des mises \u00e0 jour. Comme d\u2019autres clients similaires, qBittorrent peut \u00eatre trouv\u00e9 sur GitHub, o\u00f9 l\u2019on peut \u00e9galement trouver son code source et les instructions d\u2019installation.<\/p>\n<p>R\u00e9cemment, les utilisateurs de la m\u00eame plateforme ont essay\u00e9 de comprendre comment l\u2019installation standard de qBittorrent avait soudainement conduit \u00e0 l\u2019apparition d\u2019un logiciel de minage de cryptomonnaie ind\u00e9sirable sur la m\u00eame machine.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Proxmox_et_LXC\"><\/span>Proxmox et LXC<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Pour ceux qui ne connaissent pas Proxmox VE, il s\u2019agit d\u2019un environnement de machines virtuelles qui devient tr\u00e8s utile tr\u00e8s rapidement une fois qu\u2019on l\u2019essaie. De plus, il est gratuit pour les simples mortels et, dans la plupart des cas, tr\u00e8s facile \u00e0 installer et \u00e0 utiliser.<\/p>\n<p>Gr\u00e2ce \u00e0 divers \u00ab\u00a0scripts d\u2019aide\u00a0\u00bb propos\u00e9s par tteck sur GitHub (petit \u00e9chantillon \u00e0 droite), m\u00eame les d\u00e9butants peuvent installer en quelques secondes l\u2019un des nombreux packages logiciels disponibles \u00e0 l\u2019aide des conteneurs LXC.<\/p>\n<p>M\u00eame si tout cela ne fait pas sens, cela n\u2019a pas d\u2019importance. Ceux qui veulent installer qBittorrent, par exemple, peuvent copier et coller une seule ligne de texte dans Proxmox\u2026 et c\u2019est tout. \u00c9tant donn\u00e9 que tout le processus est presque toujours sans faille, les probl\u00e8mes des utilisateurs sont tr\u00e8s rares, il \u00e9tait donc surprenant d\u2019entendre parler d\u2019une possible infection par un logiciel malveillant r\u00e9cemment.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Decouverte_du_cryptominer\"><\/span>D\u00e9couverte du cryptominer<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>En r\u00e9sum\u00e9, un utilisateur de Proxmox a utilis\u00e9 un script de tteck pour installer qBittorrent, puis un mois plus tard, il a d\u00e9couvert que sa machine \u00e9tait utilis\u00e9e intensivement par un logiciel de minage de cryptomonnaie connu sous le nom de xmrig. Alors qu\u2019il enqu\u00eatait sur le probl\u00e8me, tteck a supprim\u00e9 le script LXC de qBittorrent par pr\u00e9caution, mais il est rapidement devenu clair que ni Proxmox ni le script de tteck n\u2019avaient quoi que ce soit \u00e0 voir avec le probl\u00e8me.<\/p>\n<p>Le logiciel ind\u00e9sirable avait en effet \u00e9t\u00e9 install\u00e9 de mani\u00e8re malveillante, mais en raison d\u2019une s\u00e9rie d\u2019\u00e9v\u00e9nements \u00e9vitables, plut\u00f4t que d\u2019un piratage de g\u00e9nie.<\/p>\n<p>Lorsqu\u2019une installation de qBittorrent comme celle-ci est termin\u00e9e et que le logiciel est lanc\u00e9, l\u2019acc\u00e8s \u00e0 qBittorrent se fait par le biais d\u2019une interface web accessible depuis la plupart des navigateurs web. Par d\u00e9faut, qBittorrent utilise le port 8080 et comme de nombreux utilisateurs aiment acc\u00e9der \u00e0 leurs clients de torrent depuis des r\u00e9seaux distants, qBittorrent utilise l\u2019UPnP (Universal Plug and Play) pour automatiser la redirection de port, exposant ainsi l\u2019interface web \u00e0 Internet.<\/p>\n<p>Avoir cela fonctionnel en un temps record est tr\u00e8s agr\u00e9able, mais cela ne signifie pas que c\u2019est s\u00fbr. Pour s\u2019assurer que seul l\u2019op\u00e9rateur du client peut acc\u00e9der \u00e0 l\u2019interface web, qBittorrent permet \u00e0 l\u2019utilisateur de configurer un nom d\u2019utilisateur et un mot de passe \u00e0 des fins d\u2019authentification.<\/p>\n<p>Cela signifie g\u00e9n\u00e9ralement que les passants al\u00e9atoires devront poss\u00e9der ces informations d\u2019identification avant de pouvoir causer des dommages. Dans ce cas, le nom d\u2019utilisateur et le mot de passe administrateur par d\u00e9faut n\u2019ont pas \u00e9t\u00e9 modifi\u00e9s, ce qui a permis \u00e0 un attaquant d\u2019acc\u00e9der facilement \u00e0 l\u2019interface web.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Lattaquant_a_ordonne_a_qBittorrent_dexecuter_un_programme_externe\"><\/span>L\u2019attaquant a ordonn\u00e9 \u00e0 qBittorrent d\u2019ex\u00e9cuter un programme externe<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Afin de permettre aux utilisateurs d\u2019automatiser diverses t\u00e2ches li\u00e9es au t\u00e9l\u00e9chargement et \u00e0 l\u2019organisation de leurs fichiers, qBittorrent dispose d\u2019une fonctionnalit\u00e9 qui peut ex\u00e9cuter automatiquement un programme externe lorsqu\u2019un torrent est ajout\u00e9 et\/ou lorsqu\u2019un torrent est termin\u00e9.<\/p>\n<p>Les options ici sont limit\u00e9es uniquement par l\u2019imagination et les comp\u00e9tences de l\u2019utilisateur, mais malheureusement cela s\u2019applique \u00e9galement \u00e0 tout attaquant ayant acc\u00e8s \u00e0 l\u2019interface web du client.<\/p>\n<p>Dans ce cas, l\u2019attaquant a ordonn\u00e9 au client qBittorrent d\u2019ex\u00e9cuter un script de base \u00e0 la fin d\u2019un torrent. Le script a acc\u00e9d\u00e9 au domaine http:\/\/cdnsrv.in, d\u2019o\u00f9 il a t\u00e9l\u00e9charg\u00e9 un fichier appel\u00e9 update.sh, puis l\u2019a ex\u00e9cut\u00e9. Les cons\u00e9quences de cela sont expliqu\u00e9es en d\u00e9tail par tteck, mais les principaux points sont : a) le minage non autoris\u00e9 de cryptomonnaie sur la machine h\u00f4te et b) le maintien de l\u2019acc\u00e8s root par authentification de cl\u00e9 SSH.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Facilement_evitable\"><\/span>Facilement \u00e9vitable<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Le nom d\u2019utilisateur administrateur par d\u00e9faut de qBittorrent est \u00ab\u00a0admin\u00a0\u00bb, tandis que le mot de passe par d\u00e9faut est \u00ab\u00a0adminadmin\u00a0\u00bb. Si ces valeurs par d\u00e9faut bien connues avaient \u00e9t\u00e9 modifi\u00e9es apr\u00e8s l\u2019installation, l\u2019attaquant aurait quand m\u00eame pu trouver l\u2019interface web, mais il n\u2019aurait pas eu d\u2019informations d\u2019identification utiles pour y acc\u00e9der normalement.<\/p>\n<p>Plus fondamentalement, la possession des bonnes informations d\u2019identification aurait eu une valeur limit\u00e9e si le client qBittorrent n\u2019avait pas utilis\u00e9 l\u2019UPnP pour exposer l\u2019interface web en premier lieu. En prenant un pas de recul suppl\u00e9mentaire, si l\u2019UPnP n\u2019avait pas \u00e9t\u00e9 activ\u00e9 dans le routeur de l\u2019utilisateur, qBittorrent n\u2019aurait pas eu acc\u00e8s \u00e0 l\u2019UPnP et n\u2019aurait pas pu rediriger les ports ou exposer l\u2019interface \u00e0 Internet.<\/p>\n<p>En r\u00e9sum\u00e9 : d\u00e9sactiver l\u2019UPnP dans le routeur et ne l\u2019activer que lorsque sa fonction est enti\u00e8rement comprise et absolument n\u00e9cessaire. Ne laissez jamais les mots de passe par d\u00e9faut inchang\u00e9s et si quelque chose n\u2019a pas besoin d\u2019\u00eatre expos\u00e9 \u00e0 Internet, ne l\u2019exposez pas inutilement.<\/p>\n<p>Enfin, il convient de mentionner que la r\u00e9ponse de tteck, \u00e0 un probl\u00e8me qui n\u2019avait rien \u00e0 voir avec Proxmox ou ses scripts, a \u00e9t\u00e9 de premi\u00e8re classe. Toute personne installant le LXC de qBittorrent \u00e0 partir d\u2019ici trouvera le mot de passe administrateur par d\u00e9faut modifi\u00e9 et l\u2019UPnP automatiquement d\u00e9sactiv\u00e9.<\/p>\n<p>Tout temps gagn\u00e9 peut \u00eatre consacr\u00e9 \u00e0 l\u2019installation automatis\u00e9e de Plex, Tautulli, Emby, Jellyfin, Jellyseerr, Overseerr, Navidrome, Bazarr, Lidarr, Prowlarr, Radarr, Readarr, Sonarr, Tdarr, Whisparr et bien d\u2019autres encore.<\/p>\n<p><\/p><center><em>Proxmox : un hyperviseur de type 1 open source<\/em><\/center>","protected":false},"excerpt":{"rendered":"","protected":false},"author":1,"featured_media":5464,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[586],"tags":[],"class_list":["post-5462","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-actu-tech","generate-columns","tablet-grid-50","mobile-grid-100","grid-parent","grid-50"],"_links":{"self":[{"href":"https:\/\/toukiela.com\/es\/wp-json\/wp\/v2\/posts\/5462","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/toukiela.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/toukiela.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/toukiela.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/toukiela.com\/es\/wp-json\/wp\/v2\/comments?post=5462"}],"version-history":[{"count":0,"href":"https:\/\/toukiela.com\/es\/wp-json\/wp\/v2\/posts\/5462\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/toukiela.com\/es\/wp-json\/wp\/v2\/media\/5464"}],"wp:attachment":[{"href":"https:\/\/toukiela.com\/es\/wp-json\/wp\/v2\/media?parent=5462"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/toukiela.com\/es\/wp-json\/wp\/v2\/categories?post=5462"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/toukiela.com\/es\/wp-json\/wp\/v2\/tags?post=5462"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}