Check And Solve If Your QNAP NAS Has been Injected a CPUMiner Program 摘錄中文如下:
這個問題在 2017/4/18 開始在社群出現,在 2017/4/28 停止討論,4/28 快速在台灣社群討論,一開始大家以為是 4.3.3 的問題,最後發現是有不明程式的挖礦程式在執行。
1. 發生什麼事
CPUMiner 被植入的 QNAP NAS,透過 tcp 4444 為 mineXMR.com 提供運算。
CPUMiner (forked by LucasJones & Wolf) 在 GitHub: OhGodAPet/cpuminer-multi 可以下載,該程式僅能在 x86-64 執行。
2. 如何判斷是否有 CPUMiner 在我的 NAS
2.1 CPU 總是很忙
如果在 [CPU usage] 看到即使沒有在工作,也總是維持在 30% 以上,你要注意並且繼續下面的步驟。
2.2 不明 Process
使用 ps 檢查是否有 /mnt/HDA_ROOT/disk_manage.cgi 在執行,有的話很有可能中獎,繼續下個檢查。
disk_manage.cgi 是標準 process,但是 /mnt/HDA_ROOT/disk_manage.cgi 並不是,注意兩者不同。
這次一共有三個可疑程式:
a. /mnt/HDA_ROOT/disk_manage.cgi
b. /mnt/HDA_ROOT/qwatchdogd.cgi
c. /mnt/HDA_ROOT/rcu_shed.cgi
2.3 不明排程工作
如果在 cron 之中看到有 /mnt/HDA_ROOT/rcu_shed,應該就是中獎了。
3. 解決方案
3.1 殺掉 Process
[~] # kill -KILL PID_OF_/mnt/HDA_ROOT/disk_manage.cgi
[~] # kill -KILL PID_OF_/mnt/HDA_ROOT/qwatchdogd.cgi
[~] # kill -KILL PID_OF_/mnt/HDA_ROOT/rcu_shed.cgi
3.2 停止自動載入
編輯 cron 設定檔案,移除這列指令: "*/3 * * * * /mnt/ext/opt/apache/bin/php /mnt/HDA_ROOT/rcu_shed",並且覆寫檔案
3.3 趕緊上補丁
4.2.x 使用者趕緊裝上 Security Vulnerabilities Addressed in QTS 4.2.3 Builds 20170121 and 20170124 與 Security Vulnerabilities Addressed in QTS 4.2.4 Build 20170313.
4.3.x 使用者可以安裝新韌體版本 4.3.3.0174 build 20170503
3.4 刪除殘渣
最後記得刪除 /mnt/HDA_ROOT/ 的 disk_manage.cgi, qwatchdogd, rcu_shed, 與 rcu_shed.json 這四個檔案
3.5 使用 QNAP Malware Remover
請在 QTS 的 [App Center] 搜尋並安裝 Malware Remover,也可以直接下載
檔案
第一次安裝後會立刻執行,並且回報在 [System Logs]。之後每天凌晨三點會自動執行。
結語
建議同時閱讀
Synology Security Issue and How-to Harden your NAS ,內容有 QNAP, Asustor, Thecus, 與 Synology 的資安相關設定。
Just my two cents.