Что внутри qBittorrent backdoor или bug?

кто-то в настройках qbittorrent слушать 22 порт.
промониторь какой протокол идет на 22 порт.

на 22 TCP порту куда ломится qBittorrent находится реальный SSH. Если туда подключиться то есть запрос на ввод логина и пароля.

Это не ошибка, это не в настройках qbittorrent кто-то указал слушать 22 порт.

Больше похоже на brutforce через мой qbittorrent какого-то сервера. Вопрос кто это делает? Есть подозрение что внутри самого qbittorrent есть лайзейка от разработчиков. Антивирусы говорят что: qbittorrent - PUA Trojan detection

антивирусы вообще много чего сказать могут.
половина библиотек операционки может имеют активность «выходящую за рамки обычной», зависит всего лишь от того какую активность автор антивирусника считает обычной :)

кубик же опенсорс, можешь в исходниках почитать что в него напихано :)

Исходники это одно, а программа скомпилированная и выложенная в репозиторий это совершенно другое. Для репозитория могли скомпилить из других исходников и добавить что-то от себя чего нет в исходниках для общественности.

А доменное имя у айпи есть? Может имя скажет о себе что нибудь.

Антивирусы говорят что: qbittorrent - PUA Trojan detection

Не антивирусы, а Windows Defender. Он ищет кряки и всякое другое, что неугодно M$, а реальные вирусы находит только по ошибке.

угу, исходников кубика как собак нерезанных везде валяется :) исходник один - на оф.сайте
перед компиляцией в репозиторий могут накладываться патчи, но они тоже открыты, да и корректирую в основном мелкие отличия данной системы от дефолта в исходниках.
исходники для репозитория здесь https://packages.ubuntu.com/source/jammy/qbittorrent

А дистрибутив какой? Попробуй из исходников собрать, и проверить, будет ли устанавливать это соединение.

А доменное имя у айпи есть? Может имя скажет о себе что нибудь.

Это просто IP куда ломятся, порты 80 и 443 закрыты.

А дистрибутив какой? Попробуй из исходников собрать, и проверить, будет ли устанавливать это соединение.

Боюсь что собирать буду до зеленых веников, но как вариант попробую и не факт что на момент когда соберу программу будет работать команда на взлом какого-то сервера.

Пустой qbittorent, без торрентов или со всеми остановленными также посылает запросы?

Ну так собери сама из исходников и сравни результат.
Мой никуда не ломится.

Не удивлюсь если этот троян подложили мятники.
За ними и не такое уже замечали.

В списке пиров есть этот IP?

4.2, причем многомерное: на кряки именитых группировок не ругается, остальное легко добавить в исключения (в отличие от некоторых других антивирусов, которые затрудняют это действие), вирусы находит там, где они есть - просто в 2к22 веке на малварь напороться - это ещё постараться надо. Более вероятен майнер прямо в браузере.

из оффициального репозитария самого qBittorrent

Веб-интерфейс в qBittorrent был включен?

Тебе виднее. Трафик видишь ты, мы не видим. Какой точно пакет у тебя стоит, мы не знаем. Проверить его подпись мы не можем. На московский айпишник по ssh постучатся у нас не получается ввиду, опять же, его незнания. Что ты от нас-то хочешь? Если что, хрустальный шар я разбил, а гадать по внутренностям кота я не готов, жалко его, хоть он и скотина хвостатая, вечно голодная.

Подозреваю, что кто-то распространяет этот ip и порт через DHT или как-то еще как пир для всех торрентов с целью устроить ddos. Хотя по идее таких запросов не должно быть много.

Боюсь что собирать буду до зеленых веников, но как вариант попробую и не факт что на момент когда соберу программу будет работать команда на взлом какого-то сервера.

Вот именно что не факт, а гадать можно всю жизнь. Как минимум можно собрать, посмотреть, повторяется ли там такое поведение (лучше по очереди позапускать текущий и самосборный вариант).

Если не повторяется — писать телегу в багтрекер хозяев репозитория. Если повторяется — ковырять исходники.

на 22 TCP порту куда ломится qBittorrent находится реальный SSH. Если туда подключиться то есть запрос на ввод логина и пароля. Это не ошибка, это не в настройках qbittorrent кто-то указал слушать 22 порт.

Это не значит, что там не может быть торрент-клиента. Есть множество способов повесить разные сервисы на один порт.

Вы бы хоть IP-адрес написали или трафик записали, иначе какую помощь вы ожидаете от форума?

в настройках клиента, в пункте «соединение» забань ip с ssh и посмотри сниффером что будет. Если будет тишина, то это из анонса пиров прилетело, иначе - ну я хз

Не удивлюсь если этот троян подложили мятники. За ними и не такое уже замечали.

Можно пример или ссылку где было обсуждение подобных проблем, где они могли что-то подсунуть?

Пустой qbittorent, без торрентов или со всеми остановленными также посылает запросы?

ну там с 20 торрентов всего 2 из них раздаются остальные без пиров и никуда не двигаются и ничего не делают. Это было вчера. Сегодня теже 20 торрентов но ничего никуда не раздается и никуда не скачивается. но я также вижу что qBittorrent ломится на 22 порт.

В списке пиров есть этот IP?

нету проверяла и не нашла ничего.

Веб-интерфейс в qBittorrent был включен?

нет, выключен.

Подозреваю, что кто-то распространяет этот ip и порт через DHT или как-то еще как пир для всех торрентов с целью устроить ddos. Хотя по идее таких запросов не должно быть много.

Вот это больше похоже на правду, тогда это баг получается в программе. Если поставить паузу на всех торрентах тогда все чисто и тишина. никто не ломится на 22й порт.

Что ты от нас-то хочешь?

Докопаться до истины и понять где проблема. Вы предлагаете идеи и вместе мы пытаемся разобраться.

Вы бы хоть IP-адрес написали или трафик записали, иначе какую помощь вы ожидаете от форума?

только не задосьте человека: 188.191.165.243:22

в настройках клиента, в пункте «соединение» забань ip с ssh и посмотри сниффером что будет.

Снифер все равно ловит пакеты на этот IP, движение туда есть.

Снифер все равно ловит пакеты на этот IP, движение туда есть.

а вот это ненормально, собери качалку самостоятельно и проверь

собери качалку самостоятельно и проверь

В этом нет необходимости. Кажется виновник найден.

http://xrutor.org/torrent/789428/

Если этот торрент запусить допустим через Transmission тогда тоже можно найти пакеты на 22й порт. Пользователь goingUp предположил что это кто-то через DHT раздает этот адрес.

Для проверки кто может поставьте этот торрент на скачку посмотрите снифером или что-то там у вас есть, будут ли пакеты на 22 порт идти?

P.S. И да, я люблю аниме :-)

поставьте этот торрент на скачку

Аудио (русский)

200 лет назад на дуэль вызывали за гораздо меньшие оскорбления ☺

200 лет назад на дуэль вызывали за гораздо меньшие оскорбления

Я не поняла? Это прикол, шутка или я кого-то оскорбила? Прошу пояснить для тех кто не понимает.

200 лет назад вызвать на дуэль женщину не считалось порицаемым моветоном?

Настоящие анимешники смотрят исключительно с субтитрами. Поэтому качать аниме с русской озвучкой — зашквар.

DDoS наверное может даже и без бага, а с плохо настроенной сетью.

Настоящие анимешники смотрят исключительно с субтитрами. Поэтому качать аниме с русской озвучкой — зашквар.

Ладно, пусть будет зашквар. Но у нас другая проблема, не с субтитрами, а с непонятным трафиком на 22й порт. И вкусы у всех разные, если я люблю комфорт это не значит что это зашквар.

DDoS наверное может даже и без бага, а с плохо настроенной сетью.

Это да, и судя по тому что 22й порт по умолчанию не поменяли и оставили вход по пароля там не сильно продвинутый админ.

Может кто-то проверить этот торрент у себя? Есть ли трафик подозрительный на 22й порт для этого торрента?

http://xrutor.org/torrent/789428/

Судя по тому, что Firefox даже не открывает этот сайт, а в его title прописан seo-мусор - это какой-то сифилисный рассадник вирусни.

Есть же нормальные трекеры, зачем ходить по каким-то помойкам?

только не задосьте человека: 188.191.165.243:22

whois на этот адрес выдает имя,номер телефона и адрес в раменках. Можно попробовать позвонить и попросить нормально торрент настроить)

Нет бы с рутрекера качать, как все нормальные люди.

На рутрекере часто раздача то в h.265, то условно говоря серии по отдельным торрентам... Последний раз не помню что director cut в HD с любительской доозвучкой и комментарием «это только для ценителей, качайте театралку», а театралка только в DVD качестве...

Судя по тому, что Firefox даже не открывает этот сайт, а в его title прописан seo-мусор - это какой-то сифилисный рассадник вирусни.

Есть еще вероятность что сайт заблокирован РКН и он не открывается. И да там реклама через край, на что им еще жить?

Есть же нормальные трекеры, зачем ходить по каким-то помойкам?

Где смогла найти в хорошем качестве там и скачала, на нормальных торрентах не нашла.

whois на этот адрес выдает имя,номер телефона и адрес в раменках. Можно попробовать позвонить и попросить нормально торрент настроить)

Это не админ сервера, это данные провайдера: https://www.intelsc.ru/feedback

Нет бы с рутрекера качать, как все нормальные люди.

Ну не нашала я там Пламенную бригаду пожарных в 1080p и с озвучкой от Wakanim.

Кто-то просто настроил торрент клиент так чтобы использовать для него стандартный SSH порт?

Кто-то просто настроил торрент клиент так чтобы использовать для него стандартный SSH порт?

крайне маловероятно, пиров на этом IP нет и там реальный SSH на 22 порту сидит. IP есть выше можете сами проверить.

Ещё https://iknowwhatyoudownload.com/ru/peer/?ip=188.191.165.243

Ахах, не знал, спасибо за ссылку!

С моего ip кто-то скачивал 15 CD русского шансона…

В поледних версия что-то было и что-то антивирусы там находили: https://github.com/qbittorrent/qBittorrent/issues/14489

Оказывается, виндузятникам автоматически удаляют все торрент-клиенты!

https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/criteria#potentially-unwanted-application-pua

Microsoft Defender Antivirus, see Detect and block potentially unwanted applications.
[…]
Software that is used to create or download torrents or other files specifically used with peer-to-peer file-sharing technologies.

Не знал, что в винде всё настолько плохо. Вон, tixati тоже попал под раздачу https://forum.tixati.com/offtopic/365

запусить допустим через Transmission

Так и сделал.

будут ли пакеты на 22 порт идти?

Пакетов на 188.191.165.243:22 пока на обнаружил.

Оказывается, виндузятникам автоматически удаляют все торрент-клиенты!

Torrent software (Enterprise only)

Не знаю про tixati, но qbittorrent спокойно живёт у меня под вин11, месячные проверки его не трогают.

Пакетов на 188.191.165.243:22 пока на обнаружил.

Это было дуквально пару дней, вчера и сегодня я этого не замечала. Скорее всего это кто-то раздает через DHT IP-шник с портом номер 22. У меня всегда идет мониторинг движения на подозрительные порты, если будут еще подозрительное движение я напишу.

https://github.com/yrutschle/sslh

Есть способы держать на одном порту и SSH, и HTTPS, и OpenVPN и ещё что-нибудь. Может быть кто-то сделал что-то подобное?

Попробуй не сам подключаться к этому порту, а посмотреть tcpdump смог ли подключиться qbittorrent по своему протоколу.

на момент теста я не сделала дамп пакетов, и не видела в числе пиров данный IP. А сейчас никаких пакетов на это IP и порт уже не идут, я по прежнему мониторю подозрительную активность и жду когда что-то появится снова, тогда и попробую захватить пакет и посмотреть что там. А пока сижу жду.

крайне маловероятно, пиров на этом IP нет и там реальный SSH на 22 порту сидит. IP есть выше можете сами проверить.

Я решил что кто-то таким наивным образом решил замаскировать торрент трафик.

пиров на этом IP нет и там реальный SSH на 22 порту сидит

Возможно, на момент анонса IP-адрес у провайдера был выдан другому человеку - а у того там был торрент-клиент.

А с моего порнуху.