更新：在 文章 的 [Use Malware Remover] 有詳細說明安裝、使用方式、與觀察執行成效。

不到 15 個小時，QNAP Malware Remover 已經有了一個小更新，主要差異在 MalwareRemover.sh 與 package_routines 這兩個檔案！新版本會在每天凌晨三點自動開始掃描。

前者增加一個變數紀錄掃描結果，與對應的 log 訊息；後者增加安裝時加入 cron 的設定值。

詳細程式碼檔案比較結果分享，請參考 Detail Explain of QNAP Malware Remover 2.1.0 的 Update: 2.1.1 Add To Scan at 3:00AM Everyday 小節。

Check And Solve If Your QNAP NAS Has been Injected a CPUMiner Program 摘錄中文如下：

這個問題在 2017/4/18 開始在社群出現，在 2017/4/28 停止討論，4/28 快速在台灣社群討論，一開始大家以為是 4.3.3 的問題，最後發現是有不明程式的挖礦程式在執行。

1. 發生什麼事

CPUMiner 被植入的 QNAP NAS，透過 tcp 4444 為 mineXMR.com 提供運算。

CPUMiner (forked by LucasJones & Wolf) 在 GitHub: OhGodAPet/cpuminer-multi 可以下載，該程式僅能在 x86-64 執行。

2. 如何判斷是否有 CPUMiner 在我的 NAS

   2.1 CPU 總是很忙

   如果在 [CPU usage] 看到即使沒有在工作，也總是維持在 30% 以上，你要注意並且繼續下面的步驟。

   2.2 不明 Process

使用 ps 檢查是否有 /mnt/HDA_ROOT/disk_manage.cgi 在執行，有的話很有可能中獎，繼續下個檢查。

disk_manage.cgi 是標準 process，但是 /mnt/HDA_ROOT/disk_manage.cgi 並不是，注意兩者不同。

這次一共有三個可疑程式：

a. /mnt/HDA_ROOT/disk_manage.cgi
b. /mnt/HDA_ROOT/qwatchdogd.cgi
c. /mnt/HDA_ROOT/rcu_shed.cgi

2.3 不明排程工作

如果在 cron 之中看到有 /mnt/HDA_ROOT/rcu_shed，應該就是中獎了。

3. 解決方案

   3.1 殺掉 Process

   [~] # kill -KILL PID_OF_/mnt/HDA_ROOT/disk_manage.cgi
   [~] # kill -KILL PID_OF_/mnt/HDA_ROOT/qwatchdogd.cgi
   [~] # kill -KILL PID_OF_/mnt/HDA_ROOT/rcu_shed.cgi

   3.2 停止自動載入

   編輯 cron 設定檔案，移除這列指令： "*/3 * * * * /mnt/ext/opt/apache/bin/php /mnt/HDA_ROOT/rcu_shed"，並且覆寫檔案

   3.3 趕緊上補丁

   4.2.x 使用者趕緊裝上 Security Vulnerabilities Addressed in QTS 4.2.3 Builds 20170121 and 20170124 與 Security Vulnerabilities Addressed in QTS
   4.2.4 Build 20170313.

   4.3.x 使用者可以安裝新韌體版本 4.3.3.0174 build 20170503

   3.4 刪除殘渣

   最後記得刪除 /mnt/HDA_ROOT/ 的 disk_manage.cgi, qwatchdogd, rcu_shed, 與 rcu_shed.json 這四個檔案

   3.5 使用 QNAP Malware Remover

   請在 QTS 的 [App Center] 搜尋並安裝 Malware Remover，也可以直接下載 檔案

   第一次安裝後會立刻執行，並且回報在 [System Logs]。之後每天凌晨三點會自動執行。

結語

建議同時閱讀 Synology Security Issue and How-to Harden your NAS ，內容有 QNAP, Asustor, Thecus, 與 Synology 的資安相關設定。

Just my two cents.

請問是植入的方式是透過什麼管道?

QNAP Malware Remover 的補充說明：

在 Check And Solve If Your QNAP NAS Has been Injected a CPUMiner Program 的 Use QNAP Malware Remover 小節，增加說明只要 NAS 重新開機，MallwareRemover.sh 就會自動執行一次。

在 Detail Explain of QNAP Malware Remover 2.1.0 增加分析，根據 qinstall.sh 的 Link service start/stop script 小節，可以看出 /etc/init.d/MalwareRemover.sh 被加入開機執行程序中，它指向 /share/CACHEDEV1_DATA/.qpkg/MalwareRemover/MalwareRemover.sh*，所以只要重啓作業系統就會被執行一次。不必擔心晚上關機永遠沒有被執行自動掃描。

另外，QTS 4.3.3.0154 build 20170413 是 NAS 偵測到的最新版本，但實際上另外有針對特定型號的 QTS 4.3.3.0174 build 20170503，在 Release Notes for QTS 有詳細說明。

MalwareRemover 的版本說明在 這裏，也已經公佈在 Security Bulletins and Advisories

Just my two cents.

Hi,

根據國外網友的資安鑑識報告，更新 Check And Solve If Your QNAP NAS Has been Injected a CPUMiner Program內文，增加下列章節，說明事件如何發生，以及如何避免往後的攻擊：

1. How It Hacks 如何入侵 - 簡言之，使用 Command Injection

2. How to Prevent from Command Injection 如何避免 Command Injection - 要進入系統修改設定，分配適當的執行權限

你可能需要參考：

1. QNAP QTS Configuration and Executable Files - 說明各設定檔案在哪個資料夾

2. phpinfo() Reports on NAS - 提供各家（QNAP, Asustor, Thecus, Synology）NAS 的執行報告下載

Have a nice weekend!

Hi,

Check And Solve If Your QNAP NAS Has been Injected a CPUMiner Program 內容更新：

Command Injection 是透過舊版本的 Photo Station 攻擊 NAS， QTS 4.3.x 的使用者請儘速升級 Photo Station 到 5.4.1 ( 2017/05/14 )版本。QTS 4.2.x 的使用者請升級到 Photo Station 5.2.7。

尚未安裝 Malware Remover 的使用者，請先升級 Photo Station 再安裝 Malware Remover，避免再次被入侵。

沒有安裝 Photo Station 的使用者不必刻意下載安裝這個軟體，他不是系統的安全更新。

Wish it helps!

Hi,

網友反應安裝 Malware Remover 2.1.2 之後，TS-269H 會處於 CPU 高負載狀態。

我這邊蒐集到的 TS-269H 資料，有 TS-269H 的網友回覆，可以先移除 Malware Remover 2.1.2，安裝 2.1.1，就不會有 CPU 很忙碌的問題。

另外，我們在 2017/5/15 10:00PM ~ 11:30PM 討論，認為有偵測到 Malware 後，應該要重新安裝韌體，比較好，避免有任何檔案不是原廠。

我目前還在整理這段步驟，會盡快分享給大家，快要 12:00PM 了，大家先去吃午飯休息一下吧！

如果您無法下載 2.1.1，可以參考 Check And Solve If Your QNAP NAS Has been Injected a CPUMiner Program 的 Reference #28 連結，從 QNAP 原廠下載 2.1.0 或 2.1.1 版本。兩者的差異在 Detail Explain of QNAP Malware Remover 2.1.0 有說明。

Wish it helps!

Hi,

我剛剛更新文件，TS-269H 的問題與解法寫在這 "TS-269H User with Malware Remover 2.1.2 Issue and Solutions"，我簡單翻譯為中文：

[b]TS-269H 安裝 Malware Remover 2.1.2 的問題與解決方案[/b]

TS-269H 的使用者報告安裝 2.1.2 導致 CPU 使用率飆高，操作緩慢或無法登入，tcbyxx 分享解決方案如下：

1. 手動下載 Malware Removal 2.1.1 on QNAP
2. 輸入 TS-269H 網址
3. 利用電源鈕關閉，再開啟 TS-269H
5. 盯著登入畫面，或更新頁面，直到看到登入頁面，立刻登入
6. 趕緊到 App Center 移除 Malware Remover 2.1.2，或立刻升級為 2.1.3
7. 重開機

今天也新增 "Update on 2017/5/16 about "crontab -e" 小節，紀錄為什麼無法使用這個命令：

“However, due to the way the QNAP firmware updates crontab, it will be overwritten on the next reboot. Obviously, you want your automation to survive reboots, so edit the crontab file directly with your text editor:”

Wish it helps!

Hi,

Detail Explain of QNAP Malware Remover 2.1.0 是針對 QNAP Malware Remover 2.1.x 的分析，包含如何拆解打包、程式碼行為，目前更新到 2.1.3

拆解 QPKG

需要安裝 QDK (QNAP Development Kit) ，利用下面的指令拆解檔案到指定資料夾：

[/share/Public] # qbuild --extract MalwareRemover_2.1.0.qpkg ./MalwareRemover

拆解後，再解壓縮 data.tar.gz 檔案：

[/share/Public] # tar -zxvf data.tar.gz

2.1.1

增加排程掃描

2.1.2

增加對機型的判別式，移除另一個 Malware。換句話說，這個版本可以移除兩個 malware

2.1.3

針對 TS-269H 修正 2.1.2 導致的 CPU 使用率飆高的現象

Just my two cents.