PCDVD數位科技討論區
PCDVD數位科技討論區   常見問題 標記討論區為已讀

回到   PCDVD數位科技討論區 > 電腦硬體討論群組 > 儲存媒體討論區
帳戶
密碼

  回應

 
主題工具
amigoccs
Advance Member
 

加入日期: May 2003
您的住址: Taipei
文章: 329
Cool QNAP 被埋入比特幣挖礦機事件:判斷是否被埋設挖礦程式、程式如何運作與來源、解決方案

Hi,

最近比特幣挖礦程式,就是疑似在尚未安裝 March 21, 2017 發布 Security Vulnerabilities Addressed in QTS 4.2.4 Build 20170313 的 NAS-201703-21 的 QNAP NAS 上被安裝 CPUMiner 到 mineXMR.com 幫忙挖礦的事件,初版已經先整理好在這裡,我還在潤稿與翻譯中,陸續發佈更新與翻譯:

Check And Solve If Your QNAP NAS Has been Injected a CPUMiner Program

如果您是 4.3.3 的使用者,不要相信 Dashboard 的 Resource Monitor,那裡的數字不準確。

因為我的 4.2.2 與 4.3.3 都沒有問題,而且該程式是針對 x86-64 設計,解決方案也有,國外已經在五天前停止討論這件事情了。

時間很趕,我先丟出初版,目前還在潤稿與翻譯中,陸續發佈更新與翻譯!

Wish it helps!
     
      
__________________
Amigo's CRM Notes - 客戶關係管理中文部落格
Amigo's Technical Notes - 科技類英文部落格
Amigo's Campaigns - 主辦或主講的實體活動宣傳網頁
舊 2017-05-03, 05:10 PM #1
回應時引用此文章
amigoccs離線中  
amigoccs
Advance Member
 

加入日期: May 2003
您的住址: Taipei
文章: 329
更正一下,是 XMR,而不是比特幣的挖礦程式...
 
__________________
Amigo's CRM Notes - 客戶關係管理中文部落格
Amigo's Technical Notes - 科技類英文部落格
Amigo's Campaigns - 主辦或主講的實體活動宣傳網頁
舊 2017-05-03, 11:54 PM #2
回應時引用此文章
amigoccs離線中  
amigoccs
Advance Member
 

加入日期: May 2003
您的住址: Taipei
文章: 329
更新:在 文章 的 [Use Malware Remover] 有詳細說明安裝、使用方式、與觀察執行成效。
__________________
Amigo's CRM Notes - 客戶關係管理中文部落格
Amigo's Technical Notes - 科技類英文部落格
Amigo's Campaigns - 主辦或主講的實體活動宣傳網頁
舊 2017-05-04, 11:16 AM #3
回應時引用此文章
amigoccs離線中  
amigoccs
Advance Member
 

加入日期: May 2003
您的住址: Taipei
文章: 329
Cool

如果您想要進一步認識 QNAP Malware Remover 2.1.0 程式,可以參考我剛寫好的 Detail Explain of QNAP Malware Remover 2.1.0

基本上就是個 shell script,沒有針對 x86-64 的執行檔案,換句話說,可以用在 ARM 系列上!
__________________
Amigo's CRM Notes - 客戶關係管理中文部落格
Amigo's Technical Notes - 科技類英文部落格
Amigo's Campaigns - 主辦或主講的實體活動宣傳網頁
舊 2017-05-04, 05:20 PM #4
回應時引用此文章
amigoccs離線中  
amigoccs
Advance Member
 

加入日期: May 2003
您的住址: Taipei
文章: 329
Cool

Hi,

雖然可以順利辨識、移除這次的挖礦軟體,我也建議大家(包含 QNAP, Asustor, Thecus, Synology 這四家廠牌)參考Synology Security Issue and How-to Harden your NAS,幫您的 NAS 加強資安防護文章包含四家廠家廠牌的資安設定。

另外,也可以在網路分享器的防火牆設定中,阻擋來自內網往外,與外網往內的 tcp 4444 port,讓 CPUMiner 無法連線到 mineXMR.com,這樣就沒有東西可以計算,間接降低對 NAS 的負擔。

Just my two cents.
__________________
Amigo's CRM Notes - 客戶關係管理中文部落格
Amigo's Technical Notes - 科技類英文部落格
Amigo's Campaigns - 主辦或主講的實體活動宣傳網頁
舊 2017-05-04, 08:02 PM #5
回應時引用此文章
amigoccs離線中  
amigoccs
Advance Member
 

加入日期: May 2003
您的住址: Taipei
文章: 329
Cool

不到 15 個小時,QNAP Malware Remover 已經有了一個小更新,主要差異在 MalwareRemover.sh 與 package_routines 這兩個檔案!新版本會在每天凌晨三點自動開始掃描。

前者增加一個變數紀錄掃描結果,與對應的 log 訊息;後者增加安裝時加入 cron 的設定值。

詳細程式碼檔案比較結果分享,請參考 Detail Explain of QNAP Malware Remover 2.1.0 的 Update: 2.1.1 Add To Scan at 3:00AM Everyday 小節。
 
__________________
Amigo's CRM Notes - 客戶關係管理中文部落格
Amigo's Technical Notes - 科技類英文部落格
Amigo's Campaigns - 主辦或主講的實體活動宣傳網頁
舊 2017-05-04, 10:54 PM #6
回應時引用此文章
amigoccs離線中  
amigoccs
Advance Member
 

加入日期: May 2003
您的住址: Taipei
文章: 329
Cool

Check And Solve If Your QNAP NAS Has been Injected a CPUMiner Program 摘錄中文如下:

這個問題在 2017/4/18 開始在社群出現,在 2017/4/28 停止討論,4/28 快速在台灣社群討論,一開始大家以為是 4.3.3 的問題,最後發現是有不明程式的挖礦程式在執行。

1. 發生什麼事

CPUMiner 被植入的 QNAP NAS,透過 tcp 4444 為 mineXMR.com 提供運算。

CPUMiner (forked by LucasJones & Wolf) 在 GitHub: OhGodAPet/cpuminer-multi 可以下載,該程式僅能在 x86-64 執行。

2. 如何判斷是否有 CPUMiner 在我的 NAS

2.1 CPU 總是很忙

如果在 [CPU usage] 看到即使沒有在工作,也總是維持在 30% 以上,你要注意並且繼續下面的步驟。

2.2 不明 Process

使用 ps 檢查是否有 /mnt/HDA_ROOT/disk_manage.cgi 在執行,有的話很有可能中獎,繼續下個檢查。

disk_manage.cgi 是標準 process,但是 /mnt/HDA_ROOT/disk_manage.cgi 並不是,注意兩者不同。

這次一共有三個可疑程式:

a. /mnt/HDA_ROOT/disk_manage.cgi
b. /mnt/HDA_ROOT/qwatchdogd.cgi
c. /mnt/HDA_ROOT/rcu_shed.cgi

2.3 不明排程工作

如果在 cron 之中看到有 /mnt/HDA_ROOT/rcu_shed,應該就是中獎了。

3. 解決方案

3.1 殺掉 Process

[~] # kill -KILL PID_OF_/mnt/HDA_ROOT/disk_manage.cgi
[~] # kill -KILL PID_OF_/mnt/HDA_ROOT/qwatchdogd.cgi
[~] # kill -KILL PID_OF_/mnt/HDA_ROOT/rcu_shed.cgi

3.2 停止自動載入

編輯 cron 設定檔案,移除這列指令: "*/3 * * * * /mnt/ext/opt/apache/bin/php /mnt/HDA_ROOT/rcu_shed",並且覆寫檔案

3.3 趕緊上補丁

4.2.x 使用者趕緊裝上 Security Vulnerabilities Addressed in QTS 4.2.3 Builds 20170121 and 20170124 與 Security Vulnerabilities Addressed in QTS 4.2.4 Build 20170313.

4.3.x 使用者可以安裝新韌體版本 4.3.3.0174 build 20170503

3.4 刪除殘渣

最後記得刪除 /mnt/HDA_ROOT/ 的 disk_manage.cgi, qwatchdogd, rcu_shed, 與 rcu_shed.json 這四個檔案

3.5 使用 QNAP Malware Remover

請在 QTS 的 [App Center] 搜尋並安裝 Malware Remover,也可以直接下載 檔案

第一次安裝後會立刻執行,並且回報在 [System Logs]。之後每天凌晨三點會自動執行。

結語

建議同時閱讀 Synology Security Issue and How-to Harden your NAS ,內容有 QNAP, Asustor, Thecus, 與 Synology 的資安相關設定。

Just my two cents.
__________________
Amigo's CRM Notes - 客戶關係管理中文部落格
Amigo's Technical Notes - 科技類英文部落格
Amigo's Campaigns - 主辦或主講的實體活動宣傳網頁
舊 2017-05-05, 12:01 AM #7
回應時引用此文章
amigoccs離線中  
amigoccs
Advance Member
 

加入日期: May 2003
您的住址: Taipei
文章: 329
Cool

QNAP Malware Remover 的補充說明:

Check And Solve If Your QNAP NAS Has been Injected a CPUMiner Program 的 Use QNAP Malware Remover 小節,增加說明只要 NAS 重新開機,MallwareRemover.sh 就會自動執行一次。

Detail Explain of QNAP Malware Remover 2.1.0 增加分析,根據 qinstall.sh 的 Link service start/stop script 小節,可以看出 /etc/init.d/MalwareRemover.sh 被加入開機執行程序中,它指向 /share/CACHEDEV1_DATA/.qpkg/MalwareRemover/MalwareRemover.sh*,所以只要重ㄖ@業系統就會被執行一次。不必擔心晚上關機永遠沒有被執行自動掃描。

另外,QTS 4.3.3.0154 build 20170413 是 NAS 偵測到的最新版本,但實際上另外有針對特定型號的 QTS 4.3.3.0174 build 20170503,在 Release Notes for QTS 有詳細說明。

MalwareRemover 的版本說明在 ,也已經公佈在 Security Bulletins and Advisories

Just my two cents.
__________________
Amigo's CRM Notes - 客戶關係管理中文部落格
Amigo's Technical Notes - 科技類英文部落格
Amigo's Campaigns - 主辦或主講的實體活動宣傳網頁
舊 2017-05-05, 04:22 PM #8
回應時引用此文章
amigoccs離線中  
amigoccs
Advance Member
 

加入日期: May 2003
您的住址: Taipei
文章: 329
Cool

Hi,

根據國外網友的資安鑑識報告,更新 Check And Solve If Your QNAP NAS Has been Injected a CPUMiner Program 內文,增加下列章節,說明事件如何發生,以及如何避免往後的攻擊:

1. How It Hacks 如何入侵 - 簡言之,使用 Command Injection

2. How to Prevent from Command Injection 如何避免 Command Injection - 要進入系統修改設定,分配適當的執行權限

你可能需要參考:

1. QNAP QTS Configuration and Executable Files - 說明各設定檔案在哪個資料夾

2. phpinfo() Reports on NAS - 提供各家(QNAP, Asustor, Thecus, Synology)NAS 的執行報告下載

Have a nice weekend!
__________________
Amigo's CRM Notes - 客戶關係管理中文部落格
Amigo's Technical Notes - 科技類英文部落格
Amigo's Campaigns - 主辦或主講的實體活動宣傳網頁
舊 2017-05-14, 04:16 PM #9
回應時引用此文章
amigoccs離線中  
amigoccs
Advance Member
 

加入日期: May 2003
您的住址: Taipei
文章: 329
Cool

Hi,

Check And Solve If Your QNAP NAS Has been Injected a CPUMiner Program 內容更新:

Command Injection 是透過舊版本的 Photo Station 攻擊 NAS, QTS 4.3.x 的使用者請儘速升級 Photo Station 到 5.4.1 ( 2017/05/14 )版本。QTS 4.2.x 的使用者請升級到 Photo Station 5.2.7。

尚未安裝 Malware Remover 的使用者,請先升級 Photo Station 再安裝 Malware Remover,避免再次被入侵。

沒有安裝 Photo Station 的使用者不必刻意下載安裝這個軟體,他不是系統的安全更新。

Wish it helps!
__________________
Amigo's CRM Notes - 客戶關係管理中文部落格
Amigo's Technical Notes - 科技類英文部落格
Amigo's Campaigns - 主辦或主講的實體活動宣傳網頁
舊 2017-05-14, 10:15 PM #10
回應時引用此文章
amigoccs離線中  
 
    回應



主題工具

發表文章規則
不可以發起新主題
不可以回應主題
不可以上傳附加檔案
不可以編輯您的文章

vB 代碼打開
[IMG]代碼打開
HTML代碼關閉



所有的時間均為GMT +8。 現在的時間是12:40 AM.


vBulletin Version 3.0.1
powered_by_vbulletin 2017。

Sitetag