Wer qBittorrent nicht richtig konfiguriert, muss befürchten, dass Hacker eine Monero-Mining-Schadsoftware auf dem Zielrechner installieren.
qBittorrent ist einer der beliebtesten Torrent-Clients überhaupt. Aber man sollte sich ein wenig Zeit nehmen, die Sicherheit rund um die Weboberfläche richtig zu konfigurieren. Eine Kombination aus unveränderten Standard-Anmeldedaten und UPnP-Einstellungen ermöglichte es Angreifern, Monero-Mining-Schadsoftware auf den PCs diverser Benutzers zu installieren.
Glücklicherweise kann man den Angriff mit ein paar einfachen Schritten vermeiden. Der Windows Defender von Windows 10 hat mit einigen P2P-Apps sowieso arge Probleme und löscht diese einfach ungefragt.
Funktionsweise von qBittorrent unverändert
Obwohl sich in den letzten 20 Jahren die Funktionsweise der P2P-Clients kaum bis gar nicht geändert hat, kamen immer neue Versionen der BitTorrent-Programme heraus. Ein gutes Beispiel dafür ist unter anderem qBittorrent. Dies ist ein funktionsreicher Open-Source-Client, der nach wie vor regelmäßig aktualisiert wird. Wie bei ähnlichen Clients üblich, ist qBittorent auf GitHub zu finden, zusammen mit seinem Quellcode, alternativen Web UIs und Installationsanweisungen.
An anderer Stelle auf derselben Plattform versuchten Benutzer kürzlich herauszufinden, wie eine Standardinstallation von qBittorrent plötzlich dazu führte, dass unerwünschte Software zum Schürfen des Krypto-Coins Monero auf ihrem PC erschien. Den Entwicklern von qBittorent war die Problematik leider noch nicht einmal einen Eintrag auf ihrer Website wert.
Proxmox und LXC
Für diejenigen, die die Open-Source-Virtualisierungsplattform Proxmox VE nicht kennen. Dies ist eine kostenlose Umgebung für virtuelle Maschinen, die auf der Linux-Distribution Debian basiert. Sie ist auch für Anfänger schnell installiert und bietet jede Menge hilfereiche Skripte auch für qBittorrent. Doch diese sind nicht die Ursache der Verseuchung mit der Mining-Software.
Wenn eine qBittorrent-Installation abgeschlossen und die Software gestartet ist, erfolgt der Zugriff auf qBittorrent über eine Webschnittstelle, die von den meisten Webbrowsern aus zugänglich ist. Standardmäßig verwendet qBittorrent dafür den Port 8080. Da viele Benutzer gerne von außen auf ihre Torrent-Clients zugreifen, verwendet qBittorrent UPnP (Universal Plug and Play), um die Portweiterleitung zu automatisieren und so die Weboberfläche dem Internet zugänglich zu machen.
Zugangsdaten nicht verändert
Um sicherzustellen, dass nur der Betreiber des Clients auf die Weboberfläche zugreifen kann, erlaubt qBittorrent dem Benutzer, einen Benutzernamen und ein Passwort für die Authentifizierung zu konfigurieren. Doch in den genannten Fällen, wo es zur Infektion kam, haben die Nutzer die Zugangsdaten nicht geändert. Somit konnten Angreifer mit den voreingestellten Daten problemlos auf die Weboberfläche zugreifen.
Der Angreifer forderte dann qBittorrent auf, ein externes Programm auszuführen. In diesem Fall hat der Angreifer den qBittorrent-Client angewiesen, nach Abschluss eines Torrents ein einfaches Skript auszuführen. Das Skript griff auf die Domain cdnsrv.in zu, von der es eine Datei namens update.sh herunterlud und sie dann ausführte. In der Folge kam es zu unautorisiertem Cryptomining und der Aufrechterhaltung des Root-Zugriffs durch den Angreifer mittels einer SSH-Schlüsselauthentifizierung.
Sicherheitslücke von qBittorrent leicht vermeidbar
Der Standard-Benutzername für qBittorrent ist „admin“, das Standard-Passwort ist „adminadmin“. Sofern jemand die Einstellungen ändert, benötigt der Angreifer gültige Zugangsdaten, um auf dem PC aktiv werden zu können. Außerdem sollte man das Protokoll UPnP auf dem eigenen Router sicherheitshalber sperren, wenn man es nicht wirklich braucht. Auch das verhindert nicht autorisierte Zugriffe von außen, wie TorrentFreak berichtet.
(*) Alle mit einem Stern gekennzeichneten Links sind Affiliate-Links. Wenn Du über diese Links Produkte oder Abonnements kaufst, erhält Tarnkappe.info eine kleine Provision. Dir entstehen keine zusätzlichen Kosten. Wenn Du die Redaktion anderweitig finanziell unterstützen möchtest, schau doch mal auf unserer Spendenseite oder in unserem Online-Shop vorbei.