T17

Check And Solve If Your QNAP NAS Has been Injected a CPUMiner Program 摘錄中文如下：

這個問題在 2017/4/18 開始在社群出現，在 2017/4/28 停止討論，4/28 快速在台灣社群討論，一開始大家以為是 4.3.3 的問題，最後發現是有不明程式的挖礦程式在執行。

1. 發生什麼事

CPUMiner 被植入的 QNAP NAS，透過 tcp 4444 為 mineXMR.com 提供運算。

CPUMiner (forked by LucasJones & Wolf) 在 GitHub: OhGodAPet/cpuminer-multi 可以下載，該程式僅能在 x86-64 執行。

2. 如何判斷是否有 CPUMiner 在我的 NAS

2.1 CPU 總是很忙

如果在 [CPU usage] 看到即使沒有在工作，也總是維持在 30% 以上，你要注意並且繼續下面的步驟。

2.2 不明 Process

使用 ps 檢查是否有 /mnt/HDA_ROOT/disk_manage.cgi 在執行，有的話很有可能中獎，繼續下個檢查。

disk_manage.cgi 是標準 process，但是 /mnt/HDA_ROOT/disk_manage.cgi 並不是，注意兩者不同。

這次一共有三個可疑程式：

a. /mnt/HDA_ROOT/disk_manage.cgi
b. /mnt/HDA_ROOT/qwatchdogd.cgi
c. /mnt/HDA_ROOT/rcu_shed.cgi

2.3 不明排程工作

如果在 cron 之中看到有 /mnt/HDA_ROOT/rcu_shed，應該就是中獎了。

3. 解決方案

3.1 殺掉 Process

[~] # kill -KILL PID_OF_/mnt/HDA_ROOT/disk_manage.cgi
[~] # kill -KILL PID_OF_/mnt/HDA_ROOT/qwatchdogd.cgi
[~] # kill -KILL PID_OF_/mnt/HDA_ROOT/rcu_shed.cgi

3.2 停止自動載入

編輯 cron 設定檔案，移除這列指令： "*/3 * * * * /mnt/ext/opt/apache/bin/php /mnt/HDA_ROOT/rcu_shed"，並且覆寫檔案

3.3 趕緊上補丁

4.2.x 使用者趕緊裝上 Security Vulnerabilities Addressed in QTS 4.2.3 Builds 20170121 and 20170124 與 Security Vulnerabilities Addressed in QTS 4.2.4 Build 20170313.

4.3.x 使用者可以安裝新韌體版本 4.3.3.0174 build 20170503

3.4 刪除殘渣

最後記得刪除 /mnt/HDA_ROOT/ 的 disk_manage.cgi, qwatchdogd, rcu_shed, 與 rcu_shed.json 這四個檔案

3.5 使用 QNAP Malware Remover

請在 QTS 的 [App Center] 搜尋並安裝 Malware Remover，也可以直接下載 檔案

第一次安裝後會立刻執行，並且回報在 [System Logs]。之後每天凌晨三點會自動執行。

結語

建議同時閱讀 Synology Security Issue and How-to Harden your NAS ，內容有 QNAP, Asustor, Thecus, 與 Synology 的資安相關設定。

Just my two cents.

QNAP Malware Remover 的補充說明：

在 Check And Solve If Your QNAP NAS Has been Injected a CPUMiner Program 的 Use QNAP Malware Remover 小節，增加說明只要 NAS 重新開機，MallwareRemover.sh 就會自動執行一次。

在 Detail Explain of QNAP Malware Remover 2.1.0 增加分析，根據 qinstall.sh 的 Link service start/stop script 小節，可以看出 /etc/init.d/MalwareRemover.sh 被加入開機執行程序中，它指向 /share/CACHEDEV1_DATA/.qpkg/MalwareRemover/MalwareRemover.sh*，所以只要重啓作業系統就會被執行一次。不必擔心晚上關機永遠沒有被執行自動掃描。

另外，QTS 4.3.3.0154 build 20170413 是 NAS 偵測到的最新版本，但實際上另外有針對特定型號的 QTS 4.3.3.0174 build 20170503，在 Release Notes for QTS 有詳細說明。

MalwareRemover 的版本說明在 這裏，也已經公佈在 Security Bulletins and Advisories

Just my two cents.

Hi,

根據國外網友的資安鑑識報告，更新 Check And Solve If Your QNAP NAS Has been Injected a CPUMiner Program 內文，增加下列章節，說明事件如何發生，以及如何避免往後的攻擊：

1. How It Hacks 如何入侵 - 簡言之，使用 Command Injection

2. How to Prevent from Command Injection 如何避免 Command Injection - 要進入系統修改設定，分配適當的執行權限

你可能需要參考：

1. QNAP QTS Configuration and Executable Files - 說明各設定檔案在哪個資料夾

2. phpinfo() Reports on NAS - 提供各家（QNAP, Asustor, Thecus, Synology）NAS 的執行報告下載

Have a nice weekend!

Hi,

Check And Solve If Your QNAP NAS Has been Injected a CPUMiner Program 內容更新：

Command Injection 是透過舊版本的 Photo Station 攻擊 NAS， QTS 4.3.x 的使用者請儘速升級 Photo Station 到 5.4.1 ( 2017/05/14 )版本。QTS 4.2.x 的使用者請升級到 Photo Station 5.2.7。

尚未安裝 Malware Remover 的使用者，請先升級 Photo Station 再安裝 Malware Remover，避免再次被入侵。

沒有安裝 Photo Station 的使用者不必刻意下載安裝這個軟體，他不是系統的安全更新。

Wish it helps!