Hi,

最近 XMR(非比特幣)挖礦程式,就是疑似在尚未安裝 March 21, 2017 發布 Security Vulnerabilities Addressed in QTS 4.2.4 Build 20170313 的 NAS-201703-21 的 QNAP NAS 上被安裝 CPUMiner 到 mineXMR.com 幫忙挖礦的事件,英文版已經先整理好在這裡,中文版我還在翻譯中,陸續發佈更新與翻譯:

Check And Solve If Your QNAP NAS Has been Injected a CPUMiner Program

如果您想要進一步認識 QNAP Malware Remover 2.1.0 程式,可以參考我剛寫好的 Detail Explain of QNAP Malware Remover 2.1.0

基本上就是個 shell script,沒有針對 x86-64 的執行檔案,換句話說,可以用在 ARM 系列上!

不到 15 個小時,QNAP Malware Remover 已經有了一個小更新,主要差異在 MalwareRemover.sh 與 package_routines 這兩個檔案!新版本會在每天凌晨三點自動開始掃描。

前者增加一個變數紀錄掃描結果,與對應的 log 訊息;後者增加安裝時加入 cron 的設定值。

詳細程式碼檔案比較結果分享,請參考 Detail Explain of QNAP Malware Remover 2.1.0 的 Update: 2.1.1 Add To Scan at 3:00AM Everyday 小節。

雖然可以順利辨識、移除這次的挖礦軟體,我也建議大家(包含 QNAP, Asustor, Thecus, Synology 這四家廠牌)參考 [集中] Amigo 的 NAS 研究筆記 #20 的 1. Synology Security Issue and How-to Harden your NAS,幫您的 NAS 加強資安防護文章包含四家廠家廠牌的資安設定。

另外,也可以在網路分享器的防火牆設定中,阻擋來自內網往外,與外網往內的 tcp 4444 port,讓 CPUMiner 無法連線到 mineXMR.com,這樣就沒有東西可以計算,間接降低對 NAS 的負擔。

Wish it helps!

I am currently self-employee providing CRM Consulting service and developing software applications. Welcome to check my blog @ Amigo's Technical Notes


共 4 則回應

1 樓 · Amigo · 發表於 2017-05-04 23:59 · 檢舉

Check And Solve If Your QNAP NAS Has been Injected a CPUMiner Program 摘錄中文如下:

這個問題在 2017/4/18 開始在社群出現,在 2017/4/28 停止討論,4/28 快速在台灣社群討論,一開始大家以為是 4.3.3 的問題,最後發現是有不明程式的挖礦程式在執行。

1. 發生什麼事

CPUMiner 被植入的 QNAP NAS,透過 tcp 4444 為 mineXMR.com 提供運算。

CPUMiner (forked by LucasJones & Wolf) 在 GitHub: OhGodAPet/cpuminer-multi 可以下載,該程式僅能在 x86-64 執行。

2. 如何判斷是否有 CPUMiner 在我的 NAS

2.1 CPU 總是很忙

如果在 [CPU usage] 看到即使沒有在工作,也總是維持在 30% 以上,你要注意並且繼續下面的步驟。

2.2 不明 Process

使用 ps 檢查是否有 /mnt/HDA_ROOT/disk_manage.cgi 在執行,有的話很有可能中獎,繼續下個檢查。

disk_manage.cgi 是標準 process,但是 /mnt/HDA_ROOT/disk_manage.cgi 並不是,注意兩者不同。

這次一共有三個可疑程式:

a. /mnt/HDA_ROOT/disk_manage.cgi
b. /mnt/HDA_ROOT/qwatchdogd.cgi
c. /mnt/HDA_ROOT/rcu_shed.cgi

2.3 不明排程工作

如果在 cron 之中看到有 /mnt/HDA_ROOT/rcu_shed,應該就是中獎了。

3. 解決方案

3.1 殺掉 Process

[~] # kill -KILL PID_OF_/mnt/HDA_ROOT/disk_manage.cgi
[~] # kill -KILL PID_OF_/mnt/HDA_ROOT/qwatchdogd.cgi
[~] # kill -KILL PID_OF_/mnt/HDA_ROOT/rcu_shed.cgi

3.2 停止自動載入

編輯 cron 設定檔案,移除這列指令: "*/3 * * * * /mnt/ext/opt/apache/bin/php /mnt/HDA_ROOT/rcu_shed",並且覆寫檔案

3.3 趕緊上補丁

4.2.x 使用者趕緊裝上 Security Vulnerabilities Addressed in QTS 4.2.3 Builds 20170121 and 20170124 與 Security Vulnerabilities Addressed in QTS 4.2.4 Build 20170313.

4.3.x 使用者可以安裝新韌體版本 4.3.3.0174 build 20170503

3.4 刪除殘渣

最後記得刪除 /mnt/HDA_ROOT/ 的 disk_manage.cgi, qwatchdogd, rcu_shed, 與 rcu_shed.json 這四個檔案

3.5 使用 QNAP Malware Remover

請在 QTS 的 [App Center] 搜尋並安裝 Malware Remover,也可以直接下載 檔案

第一次安裝後會立刻執行,並且回報在 [System Logs]。之後每天凌晨三點會自動執行。

結語

建議同時閱讀 Synology Security Issue and How-to Harden your NAS ,內容有 QNAP, Asustor, Thecus, 與 Synology 的資安相關設定。

Just my two cents.

I am currently self-employee providing CRM Consulting service and developing software applications. Welcome to check my blog @ Amigo's Technical Notes


2 樓 · Amigo · 發表於 2017-05-05 16:27 · 檢舉

QNAP Malware Remover 的補充說明:

Check And Solve If Your QNAP NAS Has been Injected a CPUMiner Program 的 Use QNAP Malware Remover 小節,增加說明只要 NAS 重新開機,MallwareRemover.sh 就會自動執行一次。

Detail Explain of QNAP Malware Remover 2.1.0 增加分析,根據 qinstall.sh 的 Link service start/stop script 小節,可以看出 /etc/init.d/MalwareRemover.sh 被加入開機執行程序中,它指向 /share/CACHEDEV1_DATA/.qpkg/MalwareRemover/MalwareRemover.sh*,所以只要重啓作業系統就會被執行一次。不必擔心晚上關機永遠沒有被執行自動掃描。

另外,QTS 4.3.3.0154 build 20170413 是 NAS 偵測到的最新版本,但實際上另外有針對特定型號的 QTS 4.3.3.0174 build 20170503,在 Release Notes for QTS 有詳細說明。

MalwareRemover 的版本說明在 這裏,也已經公佈在 Security Bulletins and Advisories

Just my two cents.


3 樓 · Amigo · 發表於 2017-05-14 16:19 · 檢舉

Hi,

根據國外網友的資安鑑識報告,更新 Check And Solve If Your QNAP NAS Has been Injected a CPUMiner Program 內文,增加下列章節,說明事件如何發生,以及如何避免往後的攻擊:

1. How It Hacks 如何入侵 - 簡言之,使用 Command Injection

2. How to Prevent from Command Injection 如何避免 Command Injection - 要進入系統修改設定,分配適當的執行權限

你可能需要參考:

1. QNAP QTS Configuration and Executable Files - 說明各設定檔案在哪個資料夾

2. phpinfo() Reports on NAS - 提供各家(QNAP, Asustor, Thecus, Synology)NAS 的執行報告下載

Have a nice weekend!


4 樓 · Amigo · 發表於 2017-05-14 22:22 · 檢舉

Hi,

Check And Solve If Your QNAP NAS Has been Injected a CPUMiner Program 內容更新:

Command Injection 是透過舊版本的 Photo Station 攻擊 NAS, QTS 4.3.x 的使用者請儘速升級 Photo Station 到 5.4.1 ( 2017/05/14 )版本。QTS 4.2.x 的使用者請升級到 Photo Station 5.2.7。

尚未安裝 Malware Remover 的使用者,請先升級 Photo Station 再安裝 Malware Remover,避免再次被入侵。

沒有安裝 Photo Station 的使用者不必刻意下載安裝這個軟體,他不是系統的安全更新。

Wish it helps!