ubuntu crypto miner sorunu
5
●126
- 06-10-2025, 21:38:26Merhaba bir projem de qbitttorent api kullanıyorum video dönüştürme sistemi fakat sisteme sürekli crypto miner bulaşıyor cpu %100lere çıkıyor max 3 gün dayanıyor bu illet virüs tekrar bulaşıyor virüsün detaylarına inince autorun buldum yify.foo üzerinden kendini yeniliyor ve qbittorent'i kullanarak kendini sisteme sokuyor ve mining yapıyor bunun önüne nasıl geçeriz ? qbittorent yerine başka bir torrent api kullansam olur mu acaba yoksa direk indirilen mp4 mkv tarzı dosyalara mı gömüyorlar bu virüsü acaba ? bilgisi olan başına gelen var mı ?
- 06-10-2025, 21:44:58Geçmiş olsun. Formattan başka çözüm yok. Ssh'ı vpn ile korumanız gerekiyor. Ayrıca sunucuda çalıştırdığınız kodların dependency'lerini de kontrol etmeniz gerekiyor. Son zamanlarda özellikle nodejs paketlerinde crypto miner saldırıları yapılmaya başlandı. Nodejs Supply Chain Attack diye aratırsanız bu konuyla ilgili haberlere ulaşabilirsiniz. Bilindik npm paketleri haricindeki paketleri kullanmamak gerekiyor. En klişe kelimelere npm paketi açıyorlar ve içerisine obfuske edilmiş kod yükleyip sunucuya ve bilgisayara uzaktan erişim sağlıyorlar. Üstüne shell zaafiyetlerini de ekleyip root oluyorlar. Bu durumda formattan başka çözüm kalmıyor. Bir de projelerinizdeki tüm kodları tek tek incelemeniz lazım. Kodların içerisine obfuske edilmiş kod ekliyorlar. Siz temiz sunucuya bile kursanız bu sefer oraya bulaşıyor. Ağır şrefsiz bunlar ya.
- 06-10-2025, 21:51:56Docker da çözüm olmuyor. Çünkü dockerın da zaafiyetleri var. Hatta docker daha tehlikeli çünkü eğer doğru kullanılmazsa dockerın kendisi root olarak çalıştığı için ana makinayı doğrudan ele geçiriyorlar. Bizzat yaşandı. Rootless docker kullanmak olabilir ama onun da birsürü kısıtlaması var ve çok uğraştırıcı.samutm adlı üyeden alıntı: mesajı görüntüle
- 06-10-2025, 22:27:34Linux / Win fark etmeksizin, public erişime gerek olmayan portları (ssh vs) mutlaka belirli ip adresleri üzerinden erişilecek şekilde kısıtlayın. Bu alışkanlık haline gelmeli. Ayrıca npm paketlerinin güvenilirliği de kalmadı, paketler üzerinden yayılan zararlı kodlar son aylarda çoğu kişiyi mağdur etmişti. Bilindik paketlerin bile taklitleri var. Ayrıca bir yazılımın root ile çalışması zaten kendi başına bi risk. non-root değilken her ihtimale açıksınız zaten. root yetkisi alabilecek zafiyetler ve shell üzerinden bunların kullanılması ihtimalleri var doğal olarak. İzolasyon için container düşünülebilir. Backdoor şüphesi varsa yedek alıp formatlamak şimdilik daha mantıklı olabilir tabi.
- 07-10-2025, 21:49:40çok teşekkürler tüm cevaplar için convert işlemlerinin tümünü locale çekip sadece oluşturduğumuz dosyayı publicte yayınlayacağım en garantisi bu gibi duruyor şuan
virüs bulaşsa dahi makineyi sil yenisini aç devam 
edit : qbittorrent web api default şifre ile açıp hemen değiştirmez iseniz kötü niyetli botlar anında buluyorlar web apiyi ve default şifre ile girip qbittorent'e autorun atıyorlar cronjob'a da aynı işlemi koyuyorlar silseniz dahi kendini yeniliyor.
makinanın her yerine kendini ekliyor
haberiniz olsun sorunun kaynağı buymuş.
virüs bulaşsa dahi makineyi sil yenisini aç devam