Check And Solve If Your QNAP NAS Has been Injected a CPUMiner Program 摘錄中文如下：

這個問題在 2017/4/18 開始在社群出現，在 2017/4/28 停止討論，4/28 快速在台灣社群討論，一開始大家以為是 4.3.3 的問題，最後發現是有不明程式的挖礦程式在執行。

1. 發生什麼事

CPUMiner 被植入的 QNAP NAS，透過 tcp 4444 為 mineXMR.com 提供運算。

CPUMiner (forked by LucasJones & Wolf) 在 GitHub: OhGodAPet/cpuminer-multi 可以下載，該程式僅能在 x86-64 執行。

2. 如何判斷是否有 CPUMiner 在我的 NAS

2.1 CPU 總是很忙

如果在 [CPU usage] 看到即使沒有在工作，也總是維持在 30% 以上，你要注意並且繼續下面的步驟。

2.2 不明 Process

使用 ps 檢查是否有 /mnt/HDA_ROOT/disk_manage.cgi 在執行，有的話很有可能中獎，繼續下個檢查。

disk_manage.cgi 是標準 process，但是 /mnt/HDA_ROOT/disk_manage.cgi 並不是，注意兩者不同。

這次一共有三個可疑程式：

a. /mnt/HDA_ROOT/disk_manage.cgi
b. /mnt/HDA_ROOT/qwatchdogd.cgi
c. /mnt/HDA_ROOT/rcu_shed.cgi

2.3 不明排程工作

如果在 cron 之中看到有 /mnt/HDA_ROOT/rcu_shed，應該就是中獎了。

3. 解決方案

3.1 殺掉 Process

[~] # kill -KILL PID_OF_/mnt/HDA_ROOT/disk_manage.cgi
[~] # kill -KILL PID_OF_/mnt/HDA_ROOT/qwatchdogd.cgi
[~] # kill -KILL PID_OF_/mnt/HDA_ROOT/rcu_shed.cgi

3.2 停止自動載入

編輯 cron 設定檔案，移除這列指令： "*/3 * * * * /mnt/ext/opt/apache/bin/php /mnt/HDA_ROOT/rcu_shed"，並且覆寫檔案

3.3 趕緊上補丁

4.2.x 使用者趕緊裝上 Security Vulnerabilities Addressed in QTS 4.2.3 Builds 20170121 and 20170124 與 Security Vulnerabilities Addressed in QTS 4.2.4 Build 20170313.

4.3.x 使用者可以安裝新韌體版本 4.3.3.0174 build 20170503

3.4 刪除殘渣

最後記得刪除 /mnt/HDA_ROOT/ 的 disk_manage.cgi, qwatchdogd, rcu_shed, 與 rcu_shed.json 這四個檔案

3.5 使用 QNAP Malware Remover

請在 QTS 的 [App Center] 搜尋並安裝 Malware Remover，也可以直接下載 檔案

第一次安裝後會立刻執行，並且回報在 [System Logs]。之後每天凌晨三點會自動執行。

結語

建議同時閱讀 Synology Security Issue and How-to Harden your NAS ，內容有 QNAP, Asustor, Thecus, 與 Synology 的資安相關設定。

Just my two cents.