• 06-10-2025, 21:38:26
    #1
    Merhaba bir projem de qbitttorent api kullanıyorum video dönüştürme sistemi fakat sisteme sürekli crypto miner bulaşıyor cpu %100lere çıkıyor max 3 gün dayanıyor bu illet virüs tekrar bulaşıyor virüsün detaylarına inince autorun buldum yify.foo üzerinden kendini yeniliyor ve qbittorent'i kullanarak kendini sisteme sokuyor ve mining yapıyor bunun önüne nasıl geçeriz ? qbittorent yerine başka bir torrent api kullansam olur mu acaba yoksa direk indirilen mp4 mkv tarzı dosyalara mı gömüyorlar bu virüsü acaba ? bilgisi olan başına gelen var mı ?
  • 06-10-2025, 21:44:58
    #2
    Geçmiş olsun. Formattan başka çözüm yok. Ssh'ı vpn ile korumanız gerekiyor. Ayrıca sunucuda çalıştırdığınız kodların dependency'lerini de kontrol etmeniz gerekiyor. Son zamanlarda özellikle nodejs paketlerinde crypto miner saldırıları yapılmaya başlandı. Nodejs Supply Chain Attack diye aratırsanız bu konuyla ilgili haberlere ulaşabilirsiniz. Bilindik npm paketleri haricindeki paketleri kullanmamak gerekiyor. En klişe kelimelere npm paketi açıyorlar ve içerisine obfuske edilmiş kod yükleyip sunucuya ve bilgisayara uzaktan erişim sağlıyorlar. Üstüne shell zaafiyetlerini de ekleyip root oluyorlar. Bu durumda formattan başka çözüm kalmıyor. Bir de projelerinizdeki tüm kodları tek tek incelemeniz lazım. Kodların içerisine obfuske edilmiş kod ekliyorlar. Siz temiz sunucuya bile kursanız bu sefer oraya bulaşıyor. Ağır ş€refsiz bunlar ya.
  • 06-10-2025, 21:49:24
    #3
    docker kullanın bulaşınca siler yeni container açarsınız.
  • 06-10-2025, 21:51:56
    #4
    samutm adlı üyeden alıntı: mesajı görüntüle
    docker kullanın bulaşınca siler yeni container açarsınız.
    Docker da çözüm olmuyor. Çünkü dockerın da zaafiyetleri var. Hatta docker daha tehlikeli çünkü eğer doğru kullanılmazsa dockerın kendisi root olarak çalıştığı için ana makinayı doğrudan ele geçiriyorlar. Bizzat yaşandı. Rootless docker kullanmak olabilir ama onun da birsürü kısıtlaması var ve çok uğraştırıcı.
  • 06-10-2025, 22:27:34
    #5
    Linux / Win fark etmeksizin, public erişime gerek olmayan portları (ssh vs) mutlaka belirli ip adresleri üzerinden erişilecek şekilde kısıtlayın. Bu alışkanlık haline gelmeli. Ayrıca npm paketlerinin güvenilirliği de kalmadı, paketler üzerinden yayılan zararlı kodlar son aylarda çoğu kişiyi mağdur etmişti. Bilindik paketlerin bile taklitleri var. Ayrıca bir yazılımın root ile çalışması zaten kendi başına bi risk. non-root değilken her ihtimale açıksınız zaten. root yetkisi alabilecek zafiyetler ve shell üzerinden bunların kullanılması ihtimalleri var doğal olarak. İzolasyon için container düşünülebilir. Backdoor şüphesi varsa yedek alıp formatlamak şimdilik daha mantıklı olabilir tabi.
  • 07-10-2025, 21:49:40
    #6
    çok teşekkürler tüm cevaplar için convert işlemlerinin tümünü locale çekip sadece oluşturduğumuz dosyayı publicte yayınlayacağım en garantisi bu gibi duruyor şuan virüs bulaşsa dahi makineyi sil yenisini aç devam

    edit : qbittorrent web api default şifre ile açıp hemen değiştirmez iseniz kötü niyetli botlar anında buluyorlar web apiyi ve default şifre ile girip qbittorent'e autorun atıyorlar cronjob'a da aynı işlemi koyuyorlar silseniz dahi kendini yeniliyor.

    makinanın her yerine kendini ekliyor haberiniz olsun sorunun kaynağı buymuş.