[更新]QNAP用戶注意！QTS 4.3.3 疑似被植入XMR挖礦木馬，QNAP已提供工具偵測移除！

164分

61樓

個人積分：164分

文章編號：64236816

Hi sapow,

> /mnt/HDA_ROOT/ 目錄看到 qwatchdogd 這個程式跟 /sbin/ 下的 qwatchdogd ,兩者大小不一樣.

可否請您貼上 ls -l /mnt/HDA_ROOT/qwatchdogd 的顯示結果呢？我這邊抓到的 /sbin/qwatchdogd 的顯示結果如下：

[~] # ls -l /sbin/qwatchdogd
-rwxr-xr-x 1 admin administ 6096 Sep 1 2016 /sbin/qwatchdogd*

這有什麼用處呢？首先，他協助判斷是用什麼身分植入這個檔案；接著，可以判斷植入日期，就知道從哪些時候開始的 Log 要分析

感謝您的熱心協助！

我將電腦方面的心得記錄並分享在 Amigo's Technical Notes

sapow

57分

62樓

sapow

個人積分：57分

文章編號：64237124

amigotechnotes wrote:
Hi sapow,...(恕刪)

:D

foreignbuyer

27分

63樓

foreignbuyer

個人積分：27分

文章編號：64237287

Malware Remover 5/4

Malware Remover可偵測QTS作業系統是否有被植入惡意程式。為了防止可能的惡意攻擊，QNAP強烈建議您安裝此程式。安裝過程中，Malware Remover將會檢查您的Turbo NAS是否有檔案受到感染，並將惡意程式隔離。安裝完成後： - 如果系統沒有顯示任何警告訊息，表示您的系統沒有受到感染。您可以到［控制台］>［系統紀錄］查看此次掃描結果。 - 安裝完成後如果有顯示警告訊息，表示您的系統已受到感染，但惡意程式已被成功隔離。在此情形下，請立即將Turbo NAS重新開機並更改管理者密碼。如果您有任何問題，請與我們連絡：http://helpdesk.qnap.com/。

amigotechnotes

164分

64樓

amigotechnotes

個人積分：164分

文章編號：64237653

Hi all,

剛安裝、測試、並且更新文章 Check And Solve If Your QNAP NAS Has been Injected a CPUMiner Program
內容，加上使用 QNAP 提供的 Malware Remover 2.1.0 的內容，與結果範例。

您必須登入 QTS，在 [App Center] de Utility 分類找到 [Malware Remover] 或者直接搜尋關鍵字，就可以安裝。

安裝後會自動在背景執行，可以在 System Log 看到相關訊息：

Type Date Time Users Source IP Computer name Content
Information 2017/05/04 09:50:54 System 127.0.0.1 localhost [App Center] Malware Remover enabled.
Information 2017/05/04 09:50:54 System 127.0.0.1 localhost [App Center] Malware Remover 2.1.0 has been installed in /share/CACHEDEV1_DATA/.qpkg/MalwareRemover successfully.

但因為我沒有被感染，不確定在文章 Check And Solve If Your QNAP NAS Has been Injected a CPUMiner Program 中 [Delete Mining Program and Related] 小節所提及的相關檔案是否有被自動刪除，如果有網友被植入後，利用 malware remover 順利移除，可否協助回報，我好更新文章內容，謝謝！

我將電腦方面的心得記錄並分享在 Amigo's Technical Notes

boren

26分

65樓

boren

個人積分：26分

文章編號：64239947

foreignbuyer wrote:
Malware Remover...(恕刪)

amigotechnotes wrote:
Hi all,
剛安...(恕刪)

有偵測到且移除了。

為何Qnap都沒有主動通知呢？連個公告都沒有。

tan00629

149分

66樓

tan00629

個人積分：149分

文章編號：64240388

我也裝MalwareRemover了...

看來工程師連近來也沒清乾淨...

對...這麼嚴重問題

連個公告都沒有,是要有人PO給蘋果新聞才會有動作?

然後要看FB社團立面有人說才知道...

不然你也要發新版把這個軟體預設裝上去啊

amigotechnotes

164分

67樓

amigotechnotes

個人積分：164分

文章編號：64241709

Hi tan00629,

公開宣傳需要文案人員寫文案；主管、公關、與法務要審核；高階主管同意後行銷才能宣傳文案。國際性公司還需要翻譯每篇文章，再全部重新走一次流程。整個流程是很細密與複雜的，當然就無法在 48 小時內看到官方文件回應。這是根據我之前負責 McAfee 通路銷售業務，遇到 McAfee 出包的時候的經驗。

我已經先寫好 英文版本，大家可以各自拿去通知各自的付費購買客戶，加註來源在我的網站，避免被誤會是官方文件，並用口頭翻譯為中文說明，讓客戶印象深刻，以後會記住你們的好服務建立的價值，而不是只考慮到價格顧著殺價。

提醒您使用中文文件會降低你文件的可信度（只有懂中文的人看），與服務的價值（減少了翻譯為中文的價值），這是比較細膩的操作，每一個成功的超級業務員都會自己拿捏分寸，提高自己在客戶心中的信任感。

什麼是信任方程式？請參考 Trust Equation 信任方程式

我還在撰寫該程式的分析報告，之後才會將英文版本翻譯成中文。

我將電腦方面的心得記錄並分享在 Amigo's Technical Notes