[更新]QNAP用戶注意！QTS 4.3.3 疑似被植入XMR挖礦木馬，QNAP已提供工具偵測移除！

rf5000

136分

樓主

rf5000

個人積分：136分

文章編號：64229345

watermonster wrote:
我對外沒關過，如果你的認定是出現如

29375 admin 544 S grep disk_manage.cgi

就等於中標，那當然你會覺得災情慘重全中

當然不是，38樓的前輩已經說明的很清楚，這邊就不再贅述！

不過我這邊的狀況是服務停掉，但CPU長時間50-80%，
外網及Gateway已經封掉，也看不到這串:stratum+tcp://pool.minexmr.com:4444
所以我前面才會說，看不到這串不一定代表沒事。

因為不見得每個使用者都會SSH下指令，
最簡單的檢查方式還是停用服務後，看CPU LOADING判斷

tan00629

149分

42樓

tan00629

個人積分：149分

文章編號：64229684

ldj wrote:
這個討論串真的是引起了恐慌...

我的機器是 TS-651，CPU 使用率確實一直在高檔。

可是你這也怪怪的喔,平常沒做什麼事,CPU使用率不會這麼高

你最好也是看一下哪知程序CPU使用率那麼高

watermonster

167分

43樓

watermonster

個人積分：167分

文章編號：64229787

rf5000 wrote:
當然不是，38樓的...(恕刪)

你根本搞不清楚狀況，「可能中標」跟「中標」完全兩回事

38樓講的非常清楚，但是在38樓回應之前，你的回覆根本看到黑影就開槍

"所以我前面才會說，看不到這串不一定代表沒事。"

可是你都回覆說中標

顯然你在看到38樓之前並不知道這串代表的意思是什麼...

善意的提醒很好，但是過度的造成恐慌亂開槍一點都不好

不是到處copy指令來做就能解決問題，沒在執行程序是刪不到的

CPU Loading高可能的因素很多，
Loading高必須先去看是哪個程序在占用CPU，才能知道真正問題在哪裡
不會是看到CPU Loading高就來把那些指令全部跑一跑(包含更改檔案權限等等設定)好嗎...

sapow

57分

44樓

sapow

個人積分：57分

文章編號：64229859

我是先把 rcu_shed 那行mark起來,再把程序中 rcu_shed砍掉, 目前還在觀察中.

有興趣的人可以看看 vi /mnt/HDA_ROOT/rcu_shed

amigotechnotes

164分

45樓

amigotechnotes

個人積分：164分

文章編號：64230102

我把判斷是否被埋設挖礦程式、程式如何運作與來源、解決方案，整理在 [集中] Amigo 的 NAS 研究筆記 #31！

這次最近比特幣挖礦程式，就是疑似在尚未安裝 March 21, 2017 發布 Security Vulnerabilities Addressed in QTS 4.2.4 Build 20170313 的 NAS-201703-21 的 QNAP NAS 上被安裝 CPUMiner 到 mineXMR.com 幫忙挖礦的事件。

時間很趕，我先丟出初版，目前還在潤稿與翻譯中，陸續發佈更新與翻譯！

Wish it helps!

我將電腦方面的心得記錄並分享在 Amigo's Technical Notes

rf5000

136分

樓主

rf5000

個人積分：136分

文章編號：64230148

watermonster wrote:
你根本搞不清楚狀況...(恕刪)

的確，「可能中標」跟「中標」完全兩回事。
說「中標」太武斷，應該要說「可能中標」才對。

但這並不是搞不清楚狀況，單純就事論事，因為我的NAS回應跟polinsu類似，這不是正常的狀態。

polinsu wrote:
SSH連進去453A查看結果，

[~] # ps -ef | grep disk_manage.cgi
8034 admin Z N [disk_manage.cgi]
8037 admin Z N [disk_manage.cgi]
8038 admin Z N [disk_manage.cgi]
8041 admin Z N [disk_manage.cgi]
8042 admin Z N [disk_manage.cgi]
8043 admin Z N [disk_manage.cgi]
8078 admin Z N [disk_manage.cgi]
8114 admin 9116 S N disk_manage.cgi
8515 admin 1148 S grep disk_manage.cgi...(恕刪)

不過還是感謝您的指教，我已經修正發言內容。

ldj

325分

47樓

ldj

個人積分：325分

文章編號：64230229

tan00629 wrote:
可是你這也怪怪的喔,平常沒做什麼事,CPU使用率不會這麼高

你最好也是看一下哪知程序CPU使用率那麼高

基本上不外乎是 Kernel_Processes：

或是 Qsirch：

或是兩個一起來：

然後CPU負載跳來跳去的，但整體負載都在 50%~99% 之間跳。

這是 TS-651/8G Ram，只有我一個使用者登入，沒有同時存取其他檔案的狀況....

amigotechnotes

164分

48樓

amigotechnotes

個人積分：164分

文章編號：64231851

Hi rf5000,

根據我在. Check And Solve If Your QNAP NAS Has been Injected a CPUMiner Program 的紀錄，無論是否有挖礦程式，都會有可能出現多組 disk_manage.cgi，因此我在 [Strange Running Process] 小節，又提出，如果觀察 Process，要看的是是否存在 /mnt/HDA_ROOT/disk_manage.cgi

Just my two cents.

我將電腦方面的心得記錄並分享在 Amigo's Technical Notes

jiang360

677分

49樓

jiang360

個人積分：677分

文章編號：64231944

公司也有多台qnap nas
再查看看是否有中標

amigotechnotes

164分

50樓

amigotechnotes

個人積分：164分

文章編號：64231945

Hi all,

我這邊想要統計一下出問題的版本，還請各位經過下列步驟，確認有被植入挖礦程式的網友，可以協助提供：

1. 檢查 process

執行 ps -ef | grep disk_manage.cgi，看是否有 /mnt/HDA_ROOT/disk_manage.cgi

2. 檢查排程

執行 crontab -l | grep rcu_shed ，看是否有 */3 * * * * /mnt/ext/opt/apache/bin/php /mnt/HDA_ROOT/rcu_shed

這是我目前彙整，可以用上述兩步驟驗證是否有被植入挖礦程式。

我需要 受感染 的各位協助提供您的韌體版本，例如：

使用 QTS 4.3.3，在 [Control Panel] → [System] → [Firmware Update] 複製貼上下列訊息

Model:TS-119P II
Current firmware version:4.3.3.0154
Date:2017/04/13

使用 QTS 4.2.2，在 [Control Panel] → [System Settings] → [Firmware Update] 複製貼上下列訊息

Model:TS-251A
Current firmware version:4.2.2
Date:2016/09/01

謝謝您的協助，可以加速判斷 Security Vulnerabilities Addressed in QTS 4.2.3 Builds 20170121 與 20170124 and Security Vulnerabilities Addressed in QTS 4.2.4 Build 20170313 是否有用

我將電腦方面的心得記錄並分享在 Amigo's Technical Notes

[更新]QNAP用戶注意！QTS 4.3.3 疑似被植入XMR挖礦木馬，QNAP已提供工具偵測移除！

小惡魔新聞台

小惡魔廣編特輯

小惡魔市集

[更新]QNAP用戶注意！QTS 4.3.3 疑似被植入XMR挖礦木馬，QNAP已提供工具偵測移除！

小惡魔新聞台

小惡魔廣編特輯

小惡魔市集

今日熱門文章 網友點擊推薦！

今日熱門文章　網友點擊推薦！