LINUX.ORG.RU

Что внутри qBittorrent backdoor или bug?

 , ,


1

9

На linux mint 20 установлен qBittorrent 4.3.9 из оффициального репозитария самого qBittorrent.

Заметила странную особенность, в трафике исходящим от qBittorrent есть подозрительные запросы на Московский IP на порт 22. Это SSH порт и к торрентам не должен иметь отношения вообще никакого. Пакеты туда идут в больших количествах, а не просто так случайно 1-2 пакета. Трафик именно от qBittorrent.

Это что?

  • внутри qBittorrent есть бэкдор и разработчикик под шумок спрятали в огромном объеме трафика свой? типа ломают чей-то сервак через меня?
  • В проге ошибка и кто-то DDoS устроил через баг?
  • Может еще какой вариант?

В поледних версия что-то было и что-то антивирусы там находили: https://github.com/qbittorrent/qBittorrent/issues/14489

Хотя похоже Мелкомягким вообще не нравятся торрент программы: https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/criteria#potentially-unwanted-application-pua

UPD: При разборе проблемы выяснилось что скорее всего это кто-то раздает через DHT IP-шник с портом номер 22. При запуске одного конкретного торрента даже через другую программу (Transmission) также в трафике были обращения на 22й порт. С IP адреса куда были обращения на 22й порт была найдена куча скачанных торрент файлов, похоже это не просто сервак, а с него еще и качают торренты. На текущий момент я не замечаю движения на 22й порт куда либо, эта проблема была буквально пару дней.

Спасибо всем кто принимал участие в обсуждении и помогал докопаться до истины.



Последнее исправление: AnastasiaM (всего исправлений: 2)

Ответ на: комментарий от mydibyje

Прошу прощения за некропост.

Забил IP своего VDS и сижу недоумеваю.

Качают порно, игры и прочую дрянь. Даты свежие.

Осталось теперь понять, либо сервис глючный, либо у меня прокси бэкдор сидит.

Использование сети в панели провайдера не сходится с размерами торрентов.

IIIypuk ★★★
()
Ответ на: комментарий от IIIypuk

Думаю здесь может быть ответ на ваш вопрос.

Для Ъ: качатели генерируют фейковые айпи и случайно сгенерировали и отправили ваш. называется ip-спуфинг.

mydibyje ★★★
()
Последнее исправление: mydibyje (всего исправлений: 3)