Imagen Docker qBittorrent infectada minera criptomonedas en secreto
2025-09-23
Durante la migración de servidores, el autor descubrió un proceso sospechoso, netservlet, que consumía recursos excesivos de la CPU dentro de un contenedor Docker hotio/qbittorrent. La investigación reveló que netservlet es un minero de criptomonedas oculto, probablemente XMRig o una variante. El análisis de un volcado de núcleo reveló cadenas relacionadas con la minería de criptomonedas (por ejemplo, cryptonight, ethash_calculate_dag_item) y una dirección de pool de minería (auto.c3pool.org:19999). Esto destaca la importancia de no confiar en imágenes Docker aleatorias, monitorear regularmente los recursos del sistema y auditar hosts y contenedores para evitar infracciones de seguridad.