qBittorrent vírust fogtam

avagy, méghogy Linuxra nincs vírus?!

Egyelőre csak sejtem, hogy valami speciálisan manipulált torrent fájl vagy magnet link segítségével juttatták be a cuccot a gépre.

A vírus és rootkit keresők nem találtak semmit. Tök véletlenül találtam meg a mocskot.

Tovább: https://falu.me/20250621/rosszindulatu-kodot-futtathat-a-qbittorrent

( Friczy v | 2025. 06. 22., v – 12:09 )

Érdekes történet. Kicsit a szavakon lovagolok, de ez nem vírus. Vírusok tényleg nincsenek Linuxra, nem azért, mert technikailag lehetetlen, inkább azért mert klasszikus vírusoknak egy átlagos Linuxon, ahol a programok nem rendszergazdai joggal futnak, nem sok esélye lenne a szaporodásra.

Képes önmagát terjeszteni? Ha igen, vírus. Kit érdekel, hogy milyen jogokkal fut, bőven elég kárt tud okozni azzal, hogy potenciálisan a saját fájlaimhoz hozzáfér. Vagy bőven elég, ha nekiáll BTC-t bányászni és eszi az erőforrásokat. Vagy nekiáll gyerepornót hostolni, spammelni, stb. a gépen. Még csak az sem kell, hogy natív kódként fusson.

Ha már ott fut a gépen, mi akadályoz valami 0 day exploittal magasabb magasabb szintre emelje magát?

Attól, hogy nem nevezzük a nevén, még ugyanaz.

Képes önmagát terjeszteni? Ha igen, vírus.

Téves. Kétféle malware is van, amely képes önmagát terjeszteni.

Vírus: más programohoz 'íródik' hozzá, a program lefuttatásakor aktiválódik, kárt okoz, terjeszti magát (úgy, hogy más programokhoz hozzáíródik).

Féreg: önállóan képes futni, kárt okozni és terjeszteni magát.

Vírus: más programohoz 'íródik' hozzá

A dos-os időkben volt a boot-vírus, ami a boot szektorba vagy az mbr-be írta magát. Volt a ceb-vírus, ami egy létező valami.bat vagy valami.exe mellé létrehozta magát valami.com néven. Ezek nem íródtak hozzá programokhoz, mégis vírusnak nevezték őket.

Igen, vírusnak hívták. Annak ellenére, hogy nem vírus. Vannak pongyola szóhasználatok, pl. a 'kockás füzet'. A bootvírus kissé határeset, mert a boot szektorban mégiscsak van egy program, amihez a vírus hozzácsatolja magát, de attól még az eredeti boot folyamat lezajlik.

( wladek1 | 2025. 06. 22., v – 22:38 )

Nice.

Error: nmcli terminated by signal Félbeszakítás (2)

( Hiena v | 2025. 06. 23., h – 16:46 )

Jó lenne tudni, hogy milyen NAS, milyen OS, milyen repoból jött a qtorrent. Mert a netes keresések alapján eléggé NAS specifikus dolog.

"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "

A vas történetesen egy Asustor AS4004T, gyári, rendszeresen frissített OS-sel.

$ uname -a
Linux NAS-2 4.4.52 #1 SMP PREEMPT Tue May 6 00:30:56 CST 2025 aarch64 GNU/Linux

A qBittorrent a saját csomagkezelőjéből lett telepítve, ami egy Docker konténerben futtatja ezt a cuccot: https://hub.docker.com/r/linuxserver/qbittorrent

[Falu.Me]==>[-][][X]

A 4.4-es kernelág olyan régi, hogy elvileg már nem támogatott. A legrégebbi LTS ág, ami még kap támogatást, az az 5.4.x. Linuxra van vírus, csak a frissített rendszereken szoktak elhasalni.

A qBittorrent-ed viszont aránylag friss, meg ha konténeres, elvileg ez a kriptoszemét csak abba piszkít bele.

Ha meglenne még neked a magnet link, amin ezt összeszedted, kipróbálnám a saját gépemen, friss rendszeren, bár nem használok qBittorrentet, de felrakhatok egyet.

Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”

Amit berakott docker image-et, az 5.1.0-ás, ami újabb, mint a patch-elt 5.0.1-es, amiről a cikk ír. Szóval nem ez a sérülékenység, bár lehet benne azóta újabb. Nem tudom, én Transmission-t használok, abból is a CLI változatot, webUI-val.

Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”