LINUX.ORG.RU

Что внутри qBittorrent backdoor или bug?

 , ,


1

9

На linux mint 20 установлен qBittorrent 4.3.9 из оффициального репозитария самого qBittorrent.

Заметила странную особенность, в трафике исходящим от qBittorrent есть подозрительные запросы на Московский IP на порт 22. Это SSH порт и к торрентам не должен иметь отношения вообще никакого. Пакеты туда идут в больших количествах, а не просто так случайно 1-2 пакета. Трафик именно от qBittorrent.

Это что?

  • внутри qBittorrent есть бэкдор и разработчикик под шумок спрятали в огромном объеме трафика свой? типа ломают чей-то сервак через меня?
  • В проге ошибка и кто-то DDoS устроил через баг?
  • Может еще какой вариант?

В поледних версия что-то было и что-то антивирусы там находили: https://github.com/qbittorrent/qBittorrent/issues/14489

Хотя похоже Мелкомягким вообще не нравятся торрент программы: https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/criteria#potentially-unwanted-application-pua

UPD: При разборе проблемы выяснилось что скорее всего это кто-то раздает через DHT IP-шник с портом номер 22. При запуске одного конкретного торрента даже через другую программу (Transmission) также в трафике были обращения на 22й порт. С IP адреса куда были обращения на 22й порт была найдена куча скачанных торрент файлов, похоже это не просто сервак, а с него еще и качают торренты. На текущий момент я не замечаю движения на 22й порт куда либо, эта проблема была буквально пару дней.

Спасибо всем кто принимал участие в обсуждении и помогал докопаться до истины.

кто-то в настройках qbittorrent слушать 22 порт.
промониторь какой протокол идет на 22 порт.

pfg ★★★★★ ()
Ответ на: комментарий от pfg

на 22 TCP порту куда ломится qBittorrent находится реальный SSH. Если туда подключиться то есть запрос на ввод логина и пароля.

Это не ошибка, это не в настройках qbittorrent кто-то указал слушать 22 порт.

Больше похоже на brutforce через мой qbittorrent какого-то сервера. Вопрос кто это делает? Есть подозрение что внутри самого qbittorrent есть лайзейка от разработчиков. Антивирусы говорят что: qbittorrent - PUA Trojan detection

AnastasiaM ()
Ответ на: комментарий от AnastasiaM

антивирусы вообще много чего сказать могут.
половина библиотек операционки может имеют активность «выходящую за рамки обычной», зависит всего лишь от того какую активность автор антивирусника считает обычной :)

кубик же опенсорс, можешь в исходниках почитать что в него напихано :)

pfg ★★★★★ ()
Ответ на: комментарий от pfg

Исходники это одно, а программа скомпилированная и выложенная в репозиторий это совершенно другое. Для репозитория могли скомпилить из других исходников и добавить что-то от себя чего нет в исходниках для общественности.

AnastasiaM ()
Ответ на: комментарий от AnastasiaM

Антивирусы говорят что: qbittorrent - PUA Trojan detection

Не антивирусы, а Windows Defender. Он ищет кряки и всякое другое, что неугодно M$, а реальные вирусы находит только по ошибке.

xaizek ★★★★★ ()
Ответ на: комментарий от AnastasiaM

угу, исходников кубика как собак нерезанных везде валяется :) исходник один - на оф.сайте
перед компиляцией в репозиторий могут накладываться патчи, но они тоже открыты, да и корректирую в основном мелкие отличия данной системы от дефолта в исходниках.
исходники для репозитория здесь https://packages.ubuntu.com/source/jammy/qbittorrent

pfg ★★★★★ ()
Последнее исправление: pfg (всего исправлений: 1)
Ответ на: комментарий от AnastasiaM

А дистрибутив какой? Попробуй из исходников собрать, и проверить, будет ли устанавливать это соединение.

Dog ★★ ()
Ответ на: комментарий от peter_t

А доменное имя у айпи есть? Может имя скажет о себе что нибудь.

Это просто IP куда ломятся, порты 80 и 443 закрыты.

А дистрибутив какой? Попробуй из исходников собрать, и проверить, будет ли устанавливать это соединение.

Боюсь что собирать буду до зеленых веников, но как вариант попробую и не факт что на момент когда соберу программу будет работать команда на взлом какого-то сервера.

AnastasiaM ()

Пустой qbittorent, без торрентов или со всеми остановленными также посылает запросы?

NyXzOr ★★ ()
Ответ на: комментарий от AnastasiaM

Ну так собери сама из исходников и сравни результат.
Мой никуда не ломится.

Goury ★★★★★ ()
Последнее исправление: Goury (всего исправлений: 1)

Не удивлюсь если этот троян подложили мятники.
За ними и не такое уже замечали.

Goury ★★★★★ ()
Ответ на: комментарий от xaizek

4.2, причем многомерное: на кряки именитых группировок не ругается, остальное легко добавить в исключения (в отличие от некоторых других антивирусов, которые затрудняют это действие), вирусы находит там, где они есть - просто в 2к22 веке на малварь напороться - это ещё постараться надо. Более вероятен майнер прямо в браузере.

token_polyak ★★★ ()
Последнее исправление: token_polyak (всего исправлений: 2)

Веб-интерфейс в qBittorrent был включен?

Ja-Ja-Hey-Ho ★★★★ ()

Тебе виднее. Трафик видишь ты, мы не видим. Какой точно пакет у тебя стоит, мы не знаем. Проверить его подпись мы не можем. На московский айпишник по ssh постучатся у нас не получается ввиду, опять же, его незнания. Что ты от нас-то хочешь? Если что, хрустальный шар я разбил, а гадать по внутренностям кота я не готов, жалко его, хоть он и скотина хвостатая, вечно голодная.

gremlin_the_red ★★★★★ ()

Подозреваю, что кто-то распространяет этот ip и порт через DHT или как-то еще как пир для всех торрентов с целью устроить ddos. Хотя по идее таких запросов не должно быть много.

goingUp ★★★★★ ()
Ответ на: комментарий от AnastasiaM

Боюсь что собирать буду до зеленых веников, но как вариант попробую и не факт что на момент когда соберу программу будет работать команда на взлом какого-то сервера.

Вот именно что не факт, а гадать можно всю жизнь. Как минимум можно собрать, посмотреть, повторяется ли там такое поведение (лучше по очереди позапускать текущий и самосборный вариант).

Если не повторяется — писать телегу в багтрекер хозяев репозитория. Если повторяется — ковырять исходники.

hobbit ★★★★★ ()
Последнее исправление: hobbit (всего исправлений: 2)
Ответ на: комментарий от AnastasiaM

на 22 TCP порту куда ломится qBittorrent находится реальный SSH. Если туда подключиться то есть запрос на ввод логина и пароля. Это не ошибка, это не в настройках qbittorrent кто-то указал слушать 22 порт.

Это не значит, что там не может быть торрент-клиента. Есть множество способов повесить разные сервисы на один порт.

Вы бы хоть IP-адрес написали или трафик записали, иначе какую помощь вы ожидаете от форума?

ValdikSS ★★★★★ ()

в настройках клиента, в пункте «соединение» забань ip с ssh и посмотри сниффером что будет. Если будет тишина, то это из анонса пиров прилетело, иначе - ну я хз

Morin ★★★★ ()
Ответ на: комментарий от Goury

Не удивлюсь если этот троян подложили мятники. За ними и не такое уже замечали.

Можно пример или ссылку где было обсуждение подобных проблем, где они могли что-то подсунуть?

Пустой qbittorent, без торрентов или со всеми остановленными также посылает запросы?

ну там с 20 торрентов всего 2 из них раздаются остальные без пиров и никуда не двигаются и ничего не делают. Это было вчера. Сегодня теже 20 торрентов но ничего никуда не раздается и никуда не скачивается. но я также вижу что qBittorrent ломится на 22 порт.

В списке пиров есть этот IP?

нету проверяла и не нашла ничего.

Веб-интерфейс в qBittorrent был включен?

нет, выключен.

Подозреваю, что кто-то распространяет этот ip и порт через DHT или как-то еще как пир для всех торрентов с целью устроить ddos. Хотя по идее таких запросов не должно быть много.

Вот это больше похоже на правду, тогда это баг получается в программе. Если поставить паузу на всех торрентах тогда все чисто и тишина. никто не ломится на 22й порт.

Что ты от нас-то хочешь?

Докопаться до истины и понять где проблема. Вы предлагаете идеи и вместе мы пытаемся разобраться.

Вы бы хоть IP-адрес написали или трафик записали, иначе какую помощь вы ожидаете от форума?

только не задосьте человека: 188.191.165.243:22

в настройках клиента, в пункте «соединение» забань ip с ssh и посмотри сниффером что будет.

Снифер все равно ловит пакеты на этот IP, движение туда есть.

AnastasiaM ()
Ответ на: комментарий от AnastasiaM

Снифер все равно ловит пакеты на этот IP, движение туда есть.

а вот это ненормально, собери качалку самостоятельно и проверь

Morin ★★★★ ()
Ответ на: комментарий от Morin

собери качалку самостоятельно и проверь

В этом нет необходимости. Кажется виновник найден.

http://xrutor.org/torrent/789428/

Если этот торрент запусить допустим через Transmission тогда тоже можно найти пакеты на 22й порт. Пользователь goingUp предположил что это кто-то через DHT раздает этот адрес.

Для проверки кто может поставьте этот торрент на скачку посмотрите снифером или что-то там у вас есть, будут ли пакеты на 22 порт идти?

P.S. И да, я люблю аниме :-)

AnastasiaM ()
Последнее исправление: AnastasiaM (всего исправлений: 1)
Ответ на: комментарий от gremlin_the_red

200 лет назад на дуэль вызывали за гораздо меньшие оскорбления

Я не поняла? Это прикол, шутка или я кого-то оскорбила? Прошу пояснить для тех кто не понимает.

AnastasiaM ()
Ответ на: комментарий от gremlin_the_red

200 лет назад вызвать на дуэль женщину не считалось порицаемым моветоном?

RussianWarShip ()

DDoS наверное может даже и без бага, а с плохо настроенной сетью.

naKovoNapalBaran ()
Ответ на: комментарий от gremlin_the_red

Настоящие анимешники смотрят исключительно с субтитрами. Поэтому качать аниме с русской озвучкой — зашквар.

Ладно, пусть будет зашквар. Но у нас другая проблема, не с субтитрами, а с непонятным трафиком на 22й порт. И вкусы у всех разные, если я люблю комфорт это не значит что это зашквар.

DDoS наверное может даже и без бага, а с плохо настроенной сетью.

Это да, и судя по тому что 22й порт по умолчанию не поменяли и оставили вход по пароля там не сильно продвинутый админ.

Может кто-то проверить этот торрент у себя? Есть ли трафик подозрительный на 22й порт для этого торрента?

AnastasiaM ()
Ответ на: комментарий от alex1101

Есть же нормальные трекеры, зачем ходить по каким-то помойкам?

alex1101 ()
Ответ на: комментарий от AnastasiaM

только не задосьте человека: 188.191.165.243:22

whois на этот адрес выдает имя,номер телефона и адрес в раменках. Можно попробовать позвонить и попросить нормально торрент настроить)

Dog ★★ ()
Ответ на: комментарий от Heartbreak_Kid

На рутрекере часто раздача то в h.265, то условно говоря серии по отдельным торрентам... Последний раз не помню что director cut в HD с любительской доозвучкой и комментарием «это только для ценителей, качайте театралку», а театралка только в DVD качестве...

Shadow ★★★★★ ()
Последнее исправление: Shadow (всего исправлений: 1)
Ответ на: комментарий от alex1101

Судя по тому, что Firefox даже не открывает этот сайт, а в его title прописан seo-мусор - это какой-то сифилисный рассадник вирусни.

Есть еще вероятность что сайт заблокирован РКН и он не открывается. И да там реклама через край, на что им еще жить?

Есть же нормальные трекеры, зачем ходить по каким-то помойкам?

Где смогла найти в хорошем качестве там и скачала, на нормальных торрентах не нашла.

whois на этот адрес выдает имя,номер телефона и адрес в раменках. Можно попробовать позвонить и попросить нормально торрент настроить)

Это не админ сервера, это данные провайдера: https://www.intelsc.ru/feedback

Нет бы с рутрекера качать, как все нормальные люди.

Ну не нашала я там Пламенную бригаду пожарных в 1080p и с озвучкой от Wakanim.

AnastasiaM ()

Кто-то просто настроил торрент клиент так чтобы использовать для него стандартный SSH порт?

ex-kiev ()
Ответ на: комментарий от ex-kiev

Кто-то просто настроил торрент клиент так чтобы использовать для него стандартный SSH порт?

крайне маловероятно, пиров на этом IP нет и там реальный SSH на 22 порту сидит. IP есть выше можете сами проверить.

AnastasiaM ()

В поледних версия что-то было и что-то антивирусы там находили: https://github.com/qbittorrent/qBittorrent/issues/14489

Оказывается, виндузятникам автоматически удаляют все торрент-клиенты!

https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/criteria#potentially-unwanted-application-pua

Microsoft Defender Antivirus, see Detect and block potentially unwanted applications.
[…]
Software that is used to create or download torrents or other files specifically used with peer-to-peer file-sharing technologies.

Не знал, что в винде всё настолько плохо. Вон, tixati тоже попал под раздачу https://forum.tixati.com/offtopic/365

dadd ★★★ ()
Ответ на: комментарий от AnastasiaM

запусить допустим через Transmission

Так и сделал.

будут ли пакеты на 22 порт идти?

Пакетов на 188.191.165.243:22 пока на обнаружил.

sinaps ()
Ответ на: комментарий от dadd

Оказывается, виндузятникам автоматически удаляют все торрент-клиенты!

Torrent software (Enterprise only)

Не знаю про tixati, но qbittorrent спокойно живёт у меня под вин11, месячные проверки его не трогают.

dsdqmhsx ()
Ответ на: комментарий от sinaps

Пакетов на 188.191.165.243:22 пока на обнаружил.

Это было дуквально пару дней, вчера и сегодня я этого не замечала. Скорее всего это кто-то раздает через DHT IP-шник с портом номер 22. У меня всегда идет мониторинг движения на подозрительные порты, если будут еще подозрительное движение я напишу.

AnastasiaM ()
Ответ на: комментарий от AnastasiaM

https://github.com/yrutschle/sslh

Есть способы держать на одном порту и SSH, и HTTPS, и OpenVPN и ещё что-нибудь. Может быть кто-то сделал что-то подобное?

Попробуй не сам подключаться к этому порту, а посмотреть tcpdump смог ли подключиться qbittorrent по своему протоколу.

KivApple ★★★★★ ()
Ответ на: комментарий от KivApple

на момент теста я не сделала дамп пакетов, и не видела в числе пиров данный IP. А сейчас никаких пакетов на это IP и порт уже не идут, я по прежнему мониторю подозрительную активность и жду когда что-то появится снова, тогда и попробую захватить пакет и посмотреть что там. А пока сижу жду.

AnastasiaM ()
Ответ на: комментарий от AnastasiaM

крайне маловероятно, пиров на этом IP нет и там реальный SSH на 22 порту сидит. IP есть выше можете сами проверить.

Я решил что кто-то таким наивным образом решил замаскировать торрент трафик.

ex-kiev ()
Ответ на: комментарий от AnastasiaM

пиров на этом IP нет и там реальный SSH на 22 порту сидит

Возможно, на момент анонса IP-адрес у провайдера был выдан другому человеку - а у того там был торрент-клиент.

YAR ★★★★★ ()
Для того чтобы оставить комментарий войдите или зарегистрируйтесь.