qBittorrent Web UI zum Mining von Monero missbraucht

3.9.23 10:23 von Lars Sobiraj Lesezeit: 4 Min.

Wer qBittorrent nicht richtig konfiguriert, muss befürchten, dass Hacker eine Monero-Mining-Schadsoftware auf dem Zielrechner installieren.

qBittorrent ist einer der beliebtesten Torrent-Clients überhaupt. Aber man sollte sich ein wenig Zeit nehmen, die Sicherheit rund um die Weboberfläche richtig zu konfigurieren. Eine Kombination aus unveränderten Standard-Anmeldedaten und UPnP-Einstellungen ermöglichte es Angreifern, Monero-Mining-Schadsoftware auf den PCs diverser Benutzers zu installieren.

Glücklicherweise kann man den Angriff mit ein paar einfachen Schritten vermeiden. Der Windows Defender von Windows 10 hat mit einigen P2P-Apps sowieso arge Probleme und löscht diese einfach ungefragt.

Funktionsweise von qBittorrent unverändert

Obwohl sich in den letzten 20 Jahren die Funktionsweise der P2P-Clients kaum bis gar nicht geändert hat, kamen immer neue Versionen der BitTorrent-Programme heraus. Ein gutes Beispiel dafür ist unter anderem qBittorrent. Dies ist ein funktionsreicher Open-Source-Client, der nach wie vor regelmäßig aktualisiert wird. Wie bei ähnlichen Clients üblich, ist qBittorent auf GitHub zu finden, zusammen mit seinem Quellcode, alternativen Web UIs und Installationsanweisungen.

An anderer Stelle auf derselben Plattform versuchten Benutzer kürzlich herauszufinden, wie eine Standardinstallation von qBittorrent plötzlich dazu führte, dass unerwünschte Software zum Schürfen des Krypto-Coins Monero auf ihrem PC erschien. Den Entwicklern von qBittorent war die Problematik leider noch nicht einmal einen Eintrag auf ihrer Website wert.

Proxmox und LXC

Für diejenigen, die die Open-Source-Virtualisierungsplattform Proxmox VE nicht kennen. Dies ist eine kostenlose Umgebung für virtuelle Maschinen, die auf der Linux-Distribution Debian basiert. Sie ist auch für Anfänger schnell installiert und bietet jede Menge hilfereiche Skripte auch für qBittorrent. Doch diese sind nicht die Ursache der Verseuchung mit der Mining-Software.

Wenn eine qBittorrent-Installation abgeschlossen und die Software gestartet ist, erfolgt der Zugriff auf qBittorrent über eine Webschnittstelle, die von den meisten Webbrowsern aus zugänglich ist. Standardmäßig verwendet qBittorrent dafür den Port 8080. Da viele Benutzer gerne von außen auf ihre Torrent-Clients zugreifen, verwendet qBittorrent UPnP (Universal Plug and Play), um die Portweiterleitung zu automatisieren und so die Weboberfläche dem Internet zugänglich zu machen.

Zugangsdaten nicht verändert

Um sicherzustellen, dass nur der Betreiber des Clients auf die Weboberfläche zugreifen kann, erlaubt qBittorrent dem Benutzer, einen Benutzernamen und ein Passwort für die Authentifizierung zu konfigurieren. Doch in den genannten Fällen, wo es zur Infektion kam, haben die Nutzer die Zugangsdaten nicht geändert. Somit konnten Angreifer mit den voreingestellten Daten problemlos auf die Weboberfläche zugreifen.

Der Angreifer forderte dann qBittorrent auf, ein externes Programm auszuführen. In diesem Fall hat der Angreifer den qBittorrent-Client angewiesen, nach Abschluss eines Torrents ein einfaches Skript auszuführen. Das Skript griff auf die Domain cdnsrv.in zu, von der es eine Datei namens update.sh herunterlud und sie dann ausführte. In der Folge kam es zu unautorisiertem Cryptomining und der Aufrechterhaltung des Root-Zugriffs durch den Angreifer mittels einer SSH-Schlüsselauthentifizierung.

Sicherheitslücke von qBittorrent leicht vermeidbar

Der Standard-Benutzername für qBittorrent ist „admin“, das Standard-Passwort ist „adminadmin“. Sofern jemand die Einstellungen ändert, benötigt der Angreifer gültige Zugangsdaten, um auf dem PC aktiv werden zu können. Außerdem sollte man das Protokoll UPnP auf dem eigenen Router sicherheitshalber sperren, wenn man es nicht wirklich braucht. Auch das verhindert nicht autorisierte Zugriffe von außen, wie TorrentFreak berichtet.

(*) Alle mit einem Stern gekennzeichneten Links sind Affiliate-Links. Wenn Du über diese Links Produkte oder Abonnements kaufst, erhält Tarnkappe.info eine kleine Provision. Dir entstehen keine zusätzlichen Kosten. Wenn Du die Redaktion anderweitig finanziell unterstützen möchtest, schau doch mal auf unserer Spendenseite oder in unserem Online-Shop vorbei.

Google blockiert RCS auf gerooteten Android-Handys

Google blockiert den Versand von RCS-Nachrichten auf gerooteten Android-Geräten. Der Grund für diese Maßnahme ist das Blockieren von Spam.

Eine Roboterhand, die mit einem digitalen Code interagiert

Tribler trifft KI: Eine dezentrale, KI-basierte Torrent-Suchmaschine

Die Kombination aus KI und BitTorrent in Tribler wird die Art und Weise, wie wir nach Torrents suchen, schon bald revolutionieren!

HideDroid – Eine Android-App zum Schutz der Privatsphäre des Nutzers

HideDroid ist eine Android-App, welche euch auch ohne „Root“ und mit nur wenigen Klicks hilft, die Daten eurer Apps zu anonymisieren.

Honeypot für Pädophile: Malware erpresst Kinderschänder

Eine gefälschte UsenetClub-Seite entpuppt sich als Malware-Honeypot für Pädophile. Der Erfolg hält sich bisher leider in Grenzen.

BitTorrent vom Thron gestoßen: Das Ende einer Ära

Eine Ära geht zu Ende. Video-Streaming hat BitTorrent den Rang abgelaufen. Die einstige Dominanz von Torrents im Internet ist Geschichte.

FinmadiG: Verbot anonymer Zahlungen in Digitalwährungen geplant

Der Bundestag hat in der letzten Woche erstmals den Gesetzentwurf über die Digitalisierung des Finanzmarktes, FinmadiG, beraten.

BitTorrent: Download von Filmen, Musik, Serien & Software – ist das legal?

Ist die Teilnahme an P2P-Tauschbörsen legal? Wir fragten den Juristen Ehssan Khazaeli, der sich u.a. um BitTorrent Abmahnungen kümmert.

EU-Gesetz gegen Geldwäsche: Bargeldregulierung und Verbot anonymer Kryptozahlungen kommt

Die federführenden Ausschüsse des EU-Parlaments stimmten vorgestern mehrheitlich einschneidenden Gesetzen zur verschärften Geldwäsche zu.

Ripple-CEO erwartet Verdoppelung der Krypto-Marktkapitalisierung

Brad Garlinghouse, CEO von Ripple, glaubt, dass sich die Marktkapitalisierung der Kryptowährungen in diesem Jahr verdoppeln könnte.

uTorrent, qBittorrent & TransmissionTorrent wird von Windows 10 gelöscht

Die beliebten P2P-Programme uTorrent, TransmissionTorrent und qBittorrent löscht der Windows Defender allesamt als unerwünschte Software.

Anonymer Hacker vor abstraktem digitalem Hintergrund

LockBit-Mitglied verurteilt: Vier Jahre Haft für Bandenmitglied

Mikhail Vasiliev, ein Mitglied der internationalen Ransomware-Gruppe LockBit, wurde in Kanada zu vier Jahren Haft verurteilt.

Spam-Angriff auf Monero: XMR-Transaktionen im März explodiert

Seit einem Monat ist das Transaktionsvolumen des Monero extrem hoch. Jemand versucht damit die getätigten Transaktionen sichtbar zu machen.

ALPHV/BlackCat Exit Scam: Ein Abgang mit Betrug und Chaos

Der Vorhang fällt für ALPHV/BlackCat: Ein Blick hinter die Kulissen des Exit-Scams dieser berüchtigten Ransomware-Bande.

Asgaard: Zwei Monate auf Bewährung für Betreiber

In der Causa Asgaard, der ehemals größte nicht öffentliche Torrent-Tracker in Dänemark, fiel nun das letzte Urteil.

Krypto-Karten: eine Alternative zu traditionellen Bankkarten?

Kreditkarte plus Kryptowährung ist gleich Krypto-Karte. Doch was steckt wirklich im Detail dahinter. Wir haben das einmal genauer geprüft.

Oppenheimer erlebte Download-Anstieg von 135%

Nachdem Oppenheimer sieben Oscars verliehen bekam, stieg die P2P-Nutzung des Films stark an. Die Academy Awards sind immer noch relevant.

Hat Bitcoin Eigenschaften eines Wertspeichers?

Damit Bitcoin so wie Gold vor Inflation schützen kann, muss er über die wesentlichsten Eigenschaften eines Wertspeichers verfügen.

Ein Holzhammer auf einem Schreibtisch mit einer digitalen Darstellung der Justiz

Comeback für Uptobox? Gericht entscheidet über Zukunft des Filehosters

Ist ein Comeback von Uptobox möglich? Der Fall ist nun vor Gericht und die Bemühungen um eine Rückkehr des Filehosters laufen auf Hochtouren.