QNAP 被植入挖礦程式的入侵方式、判斷、清除、與預防

amigoccs

Hi,

根據國外網友的資安鑑識報告，更新 Check And Solve If Your QNAP NAS Has been Injected a CPUMiner Program 內文，增加下列章節，說明事件如何發生，以及如何避免往後的攻擊：

1. How It Hacks 如何入侵 - 簡言之，使用 Command Injection

2. How to Prevent from Command Injection 如何避免 Command Injection - 要進入系統修改設定，分配適當的執行權限

你可能需要參考：

1. QNAP QTS Configuration and Executable Files - 說明各設定檔案在哪個資料夾

2. phpinfo() Reports on NAS - 提供各家（QNAP, Asustor, Thecus, Synology）NAS 的執行報告下載

Have a nice weekend!

amigoccs

Hi,

我剛剛更新文件，TS-269H 的問題與解法寫在這 "TS-269H User with Malware Remover 2.1.2 Issue and Solutions"，我簡單翻譯為中文：

TS-269H 安裝 Malware Remover 2.1.2 的問題與解決方案

TS-269H 的使用者報告安裝 2.1.2 導致 CPU 使用率飆高，操作緩慢或無法登入，tcbyxx 分享解決方案如下：

    1. 手動下載 Malware Removal 2.1.1 on QNAP
    2. 輸入 TS-269H 網址
    3. 利用電源鈕關閉，再開啟 TS-269H
    5. 盯著登入畫面，或更新頁面，直到看到登入頁面，立刻登入
    6. 趕緊到 App Center 移除 Malware Remover 2.1.2，或立刻升級為 2.1.3
    7. 重開機

今天也新增 "Update on 2017/5/16 about "crontab -e" 小節，紀錄為什麼無法使用這個命令：

“However, due to the way the QNAP firmware updates crontab, it will be overwritten on the next reboot. Obviously, you want your automation to survive reboots, so edit the crontab file directly with your text editor:”

Wish it helps!

amigoccs

Hi,

網友反應安裝 Malware Remover 2.1.2 之後，TS-269H 會處於 CPU 高負載狀態。

我這邊蒐集到的 TS-269H 資料，有 TS-269H 的網友回覆，可以先移除 Malware Remover 2.1.2，安裝 2.1.1，就不會有 CPU 很忙碌的問題。

另外，我們在 2017/5/15 10:00PM ~ 11:30PM 討論，認為有偵測到 Malware 後，應該要重新安裝韌體，比較好，避免有任何檔案不是原廠。

我目前還在整理這段步驟，會盡快分享給大家，快要 12:00PM 了，大家先去吃午飯休息一下吧！

如果您無法下載 2.1.1，可以參考 Check And Solve If Your QNAP NAS Has been Injected a CPUMiner Program 的 Reference #28 連結，從 QNAP 原廠下載 2.1.0 或 2.1.1 版本。兩者的差異在 Detail Explain of QNAP Malware Remover 2.1.0 有說明。

Wish it helps!

amigoccs

Hi,

Check And Solve If Your QNAP NAS Has been Injected a CPUMiner Program 內容更新：

Command Injection 是透過舊版本的 Photo Station 攻擊 NAS， QTS 4.3.x 的使用者請儘速升級 Photo Station 到 5.4.1 ( 2017/05/14 )版本。QTS 4.2.x 的使用者請升級到 Photo Station 5.2.7。

尚未安裝 Malware Remover 的使用者，請先升級 Photo Station 再安裝 Malware Remover，避免再次被入侵。

沒有安裝 Photo Station 的使用者不必刻意下載安裝這個軟體，他不是系統的安全更新。

Wish it helps!