Har jag blivit hackad eller är de virus?

Permalänk
Medlem
Skrivet av OldComputer:

Du exponerar ju hela IP-adressen (i bilden) också. Inte undra på att du får in grejer. (Tar för givet att du är lika slarvig mot internet också).

Orkade inte detaljgranska bilderna, men det jag såg var några interna IP-adresser – och det är fullständigt harmlöst att “exponera” sådana. Det gäller egentligen även publika IP-adresser. De är inte hemliga – de måste vara publika för att man ska kunna kommunicera över internet.

Den enda egentliga anledningen till att inte skriva ut sin publika IP här på Sweclockers är att den då kan knytas till ens användarnamn, och man kan få en ungefärlig geografisk position. Men säkerhetsmässigt är det ganska ointressant. IP-adresser följer en given struktur, så det är bara att loopa igenom dem – vilket botar och skript gör dygnet runt ändå.

Så nej, att skriva “jag har IP 213.x.x.x” innebär inte att man plötsligt blir synlig för botarna. Man är redan i deras sikte i samma sekund man kopplar upp sig.

Visa signatur

MSI PRO Z790-P WIFI | Intel i9 13900K | 128 GB DDR5
GTX 4070 12 GB
Samsung 990 Pro 4 TB | WD Black SN850X 2 TB Gen 4 | 2 x 1 TB Samsung 970 EVO Plus
3 x ASUS 27" | 1 x Philips 49"

Permalänk
Medlem
Skrivet av Superfrog:

Orkade inte detaljgranska bilderna, men det jag såg var några interna IP-adresser – och det är fullständigt harmlöst att “exponera” sådana. Det gäller egentligen även publika IP-adresser. De är inte hemliga – de måste vara publika för att man ska kunna kommunicera över internet.

Den enda egentliga anledningen till att inte skriva ut sin publika IP här på Sweclockers är att den då kan knytas till ens användarnamn, och man kan få en ungefärlig geografisk position. Men säkerhetsmässigt är det ganska ointressant. IP-adresser följer en given struktur, så det är bara att loopa igenom dem – vilket botar och skript gör dygnet runt ändå.

Så nej, att skriva “jag har IP 213.x.x.x” innebär inte att man plötsligt blir synlig för botarna. Man är redan i deras sikte i samma sekund man kopplar upp sig.

Jag tänker lite att om man skriver ut sin (publika) ip-adress på ett forum som sweclockers, och dessutom talar om att man kör en server på den, så är det som att be om att någon ska försöka "hacka" dig?

Kan ha helt fel dock men det känns som att en riktig person har större chans att ta sig in, än en bot som bara passerar som hastigast...

Visa signatur

EndeavourOS: Your search for the best Arch distro ends here
7800X3D » RX6950XT » G.SKILL 32GB » LG OLED42C35LA

Permalänk
Medlem
Skrivet av kode:

Dina backuper behöver ju inte vara smittade, det räcker med att de har kvar samma sårbarhet som ledde till att du fick din vm knäckt första gången för att du ska få den knäckt igen efter restore. Nyinstallation är säkert också en bra idé, men det garanterar ju inte att du inte omedelbart blir knäckt igen det heller.

Men en eloge ändå för att du öht tar backup.

Jo då backuper tar jag, har en extern proxmoxbackup och en lokal.
Truenas tar snapshots på data varje timme och sen skickar jag snapshots externt gång per dygn.
Timmes är bara för om jag råkat klanta mig och tar bort en fil. Medans de andra är backup.

Skrivet av Mr_Lazy:

Ett enkelt steg i felsökningen är att återställa till samma backup du använda förra gången men nu inaktivera SSH och låta VMen stå på ett par dygn och se vad som händer

Ja det kanske jag tar tag i en dag, nu fungerar allt igen så hamnat långt ned på priolistan.

Skrivet av felplacrd:

Spännande att någon satt upp en domän med AI-innehåll och serverar sin payload om User Agent är curl eller wget. Domänen är registrerad nyligen (2025-04-23). Funderar förresten på det svenskklingande namnet, "fulminare", litar du på din bror?

Du skriver Det är en ganska komplex setup för en "linux newbie", som du kallat dig. Jag tror @jagardaniel är nåt på spåren med sin fråga om hur du installerar paketen. Kan du utveckla ditt installationsförfarande lite? Jag anar att du i första läget själv copy-pastat in nåt script eller kommando som smög in detta onTorrentAdded-event under installationen.

Men du är ganska vag med detaljerna, så svårt att bedöma.

Kolla din webbläsarhistorik efter den guide du följde, script kan ha kvar i din hemkatalog eller "history" i ditt shell.

För allas kännedom verkar OP skapat en tråd på reddit också där de kommit längre i sin forensik och tips.

Ytterligare ett fall av vad som ser ut att vara exakt samma från början på maj.

Jo jag kallar mig newbie, får googla mycket och har en bror som är väldigt duktig.

Jag använder apt i debian testing, så inga externa källor.
Har endast ett script som körs det är ett för att uppdatera öppen port i qbittorrent.
Men det har min bror gjort, eller rättare sagt modifierat ett annat.

Permalänk
Medlem
Skrivet av immutable:

Jag tänker lite att om man skriver ut sin (publika) ip-adress på ett forum som sweclockers, och dessutom talar om att man kör en server på den, så är det som att be om att någon ska försöka "hacka" dig?

Kan ha helt fel dock men det känns som att en riktig person har större chans att ta sig in, än en bot som bara passerar som hastigast...

Risken är nog större att bli hackad av en bot, av den enkla anledningen att dom är så många fler och kör så många fler försök.

Men så länge man inte har felkonfigurerat tjänsterna fullständigt och/eller använder extremt enkla inloggningsuppgifter, så är risken väldigt liten att bli hackad. Extremt liten till och med. Däremot ökar risken rejält om man inte håller tjänsterna uppdaterade gällande kända säkerhetshål.

Visa signatur

MSI PRO Z790-P WIFI | Intel i9 13900K | 128 GB DDR5
GTX 4070 12 GB
Samsung 990 Pro 4 TB | WD Black SN850X 2 TB Gen 4 | 2 x 1 TB Samsung 970 EVO Plus
3 x ASUS 27" | 1 x Philips 49"

Permalänk
Medlem
Skrivet av felplacrd:

Jag anar att du i första läget själv copy-pastat in nåt script eller kommando som smög in detta onTorrentAdded-event under installationen.

Skrivet av jope84:

Jag använder apt i debian testing, så inga externa källor.
Har endast ett script som körs det är ett för att uppdatera öppen port i qbittorrent.
Men det har min bror gjort, eller rättare sagt modifierat ett annat.

Vadå inga externa källor? Varken sonarr eller radarr finns i Debians egna repos, inte ens i trixxie.

Jag bad dig i mitt förra inlägg att utveckla installationsförfarandet. Det känns ännu mer motiverat nu.

Vid närmare eftertanke känns min första teori ändå inte helt rätt då du skulle varit ägd i första läget, och då behövs inte scriptet i onTorrentAdded-event. Jag tror mer på antingen:

  1. En sårbarhet i någon av de komponenter du kör (qbit, sonarr, radarr (eller plugins till dem)

  2. Att webbgränssnittet exponerats och någon tagit sig in och konfigurerat eventet därifrån

  3. Du har googlat dig fram till något som givit dig evil instruktioner eller smugit in nåt, trots allt

Jag känner fortfarande att du är väldigt otydlig i dina beskrivingar av vad du satt upp och hur.

För att bekräfta 1 behövs mer info om exakt vilka komponenter/plugins du kör + versionsnummer.
För att bekräfta 2 behövs mer info om din brandvägg/router (upnp?), plus att du nämner regler som tillåter trafik till från din bror, och vpn.
För att bekräfta 3 behövs mer info om installationsförfarandet.

Vad som helst att detta (eller något annat jag inte tänkt på) kan vara felkonfigurerat.

Permalänk
Medlem

Det är väl inte ovanligt att man kör arrstacken som Docker containers.
Har man då använt en icke-officiell källa till någon image kan man ganska lätt ha fått in malware på det viset.

Jag upplever det eller felplacrd:s punkt 2 som ganska vanliga orsaker till att man plötsligt sitter med en ovälkommen miner (i bästa fall), även om punkt 1 och 3 också förekommer.

Permalänk
Medlem
Skrivet av felplacrd:

Vadå inga externa källor? Varken sonarr eller radarr finns i Debians egna repos, inte ens i trixxie.

Jag bad dig i mitt förra inlägg att utveckla installationsförfarandet. Det känns ännu mer motiverat nu.

Vid närmare eftertanke känns min första teori ändå inte helt rätt då du skulle varit ägd i första läget, och då behövs inte scriptet i onTorrentAdded-event. Jag tror mer på antingen:

  1. En sårbarhet i någon av de komponenter du kör (qbit, sonarr, radarr (eller plugins till dem)

  2. Att webbgränssnittet exponerats och någon tagit sig in och konfigurerat eventet därifrån

  3. Du har googlat dig fram till något som givit dig evil instruktioner eller smugit in nåt, trots allt

Jag känner fortfarande att du är väldigt otydlig i dina beskrivingar av vad du satt upp och hur.

För att bekräfta 1 behövs mer info om exakt vilka komponenter/plugins du kör + versionsnummer.
För att bekräfta 2 behövs mer info om din brandvägg/router (upnp?), plus att du nämner regler som tillåter trafik till från din bror, och vpn.
För att bekräfta 3 behövs mer info om installationsförfarandet.

Vad som helst att detta (eller något annat jag inte tänkt på) kan vara felkonfigurerat.

Ja, jag såg att upnp var aktiverat i routern, menbockat av de nu.
Portforwardingen är är gjord i min unifi roter, har öppnat en port för endast hans ip.

Arr programmen är installerade som lxc genom proxmox helperscripts.
Är exponerade motnnätet genom reverseproxy dem med.
De har inte standard lösenord och användarnamn.

Programmen kommunicerar med varandra gnom api och anv och lösen.

Har hittat att qbittorrent 5.0.1 hade en rce sårbarhet,
Har för mig jag hade 5.0 ett tag.