amigotechnotes wrote:
Hi all,我這...(恕刪)
1, 2, 都有
下午發現時是4.2.2 ,後來我更新成目前最新版本, 重開機後檢查 1,2 項都還在, 又手動去停掉.
型號:TS-253A
目前的韌體版本:4.3.3.0154
日期:2017/04/13
個人積分:57分
文章編號:64232197
個人積分:136分
文章編號:64232280
個人積分:164分
文章編號:64232946
謝謝您的回應!
您檢查 1 & 2 會在停止 Process 與刪除 Schedule Task 後反覆出現,是因為駭客觀察到入侵過的 NAS 失去聯繫,就再次入侵,需要適當的安全補丁程式才算完整的治療流程。
請依照 Check And Solve If Your QNAP NAS Has been Injected a CPUMiner Program 的 Get the Patch 的建議,安裝 Security Vulnerabilities Addressed in QTS 4.2.3 Builds 20170121 與 20170124 and Security Vulnerabilities Addressed in QTS 4.2.4 Build 20170313 的補丁程式,看看是否還有出現。這部分我也會繼續追蹤 QNAP 的最新 Patch
根據我的經驗,Security Patch 與 Firmware 並不見得會被包含在一起。例如韌體從 1.0 升級到 2.0,在 1.0 到 2.0 之間曾經發行過的 Security Patch 並不一定會隨著 2.0 被安裝,因為 2.0 有自己的新版本軟體,替代先前 1.0 的舊版本,也因此針對 1.0 的安全更新,就沒有被包含在裡面。
因為國外的討論串是在五天前停止討論,而他們的做法也是上安全補丁而不是韌體升級,提供我的觀察,與開發系統的經驗給您參考。
因此,我個人建議先試著在您目前的 4.3.3.0154 安裝補丁,如果因為韌體版本不同無法安裝,我建議先降級回到舊版 4.2.2,然後安裝這兩個補丁。接著觀察是否還有同樣問題,如果有,還請您在討論串告知,好讓我持續追蹤,謝謝!
Just my two cents.
我將電腦方面的心得記錄並分享在 Amigo's Technical Notes
個人積分:164分
文章編號:64232973
個人積分:57分
文章編號:64233304
amigotechnotes wrote:
Hi sapow,...(恕刪)
我是根據 https://amigotechnotes.wordpress.com/2017/05/03/check-and-solve-if-your-qnap-nas-has-been-injected-a-cpuminer-program/
Stop Auto-reload
To stop reload the mining program, remove following line in crontab configuration using crontab -e:
*/3 * * * * /mnt/ext/opt/apache/bin/php /mnt/HDA_ROOT/rcu_shed
發現用 crontab -e 刪掉那行沒用, 我是直接編輯 /mnt/HDA_ROOT/.config/crontab ,把這行刪掉存檔.
然後刪除執行中的程序 disk_manage.cgi (有pool.minexmr.com:4444那個)
再刪除 /mnt/HDA_ROOT/ 下的, disk_manage.cgi qwatchdogd rcu_shed rcu_shed.json
重新開機等20分鐘, 程序沒再出現了, 就再觀察一陣子看看摟~
以上~
感謝amigo及各位的幫忙, :D
個人積分:164分
文章編號:64233817
> 發現用 crontab -e 刪掉那行沒用, 我是直接編輯 /mnt/HDA_ROOT/.config/crontab ,把這行刪掉存檔.
謝謝您提供的寶貴訊息,我已經更新內容,說明請使用 vi 修改改檔案。
我同意刪除 /mnt/HDA_ROOT/ 內的 disk_manage.cgi, rcu_shed, 與 rcu_shed.json 檔案,但是 qwatchdogd 我就有點存疑,因為他是內建的程式,在 /sbin/ 目錄內。您是在 /mnt/HDA_ROOT/ 目錄看到 qwatchdogd 這個程式嗎?我這邊沒有被感染的機器,還請您抽空回覆確認,謝謝!
Have a nice day!
我將電腦方面的心得記錄並分享在 Amigo's Technical Notes
個人積分:164分
文章編號:64234154
個人積分:164分
文章編號:64234254
當然,您可以參考 [集中] Amigo 的 NAS 研究筆記 討論串提及的 Linux Process Viewer with Thread Support,在 QTS terminal 使用 top 或安裝 htop,也可以觀察 CPU 的狀況喔!
Just my two cents!
我將電腦方面的心得記錄並分享在 Amigo's Technical Notes
個人積分:136分
文章編號:64236154
個人積分:57分
文章編號:64236545
