[更新]QNAP用戶注意！QTS 4.3.3 疑似被植入XMR挖礦木馬，QNAP已提供工具偵測移除！ (第2頁)

pdaliu
個人積分：157分
文章編號：64222761

157分

11樓

2017-05-03 7:26

rf5000 wrote:
剛剛跟幾個中標的朋友...(恕刪)

我有兩台 Q 家的 NAS, 最近都剛升級 4.3.3, 剛剛看了一下, 並沒有那個 cgi process, 所以應該是跟某(些)個 APP 比較相關, 而我比較幸運, 沒有用到那些被汙染的 APP. 個人猜測, 因為是 cgi, 所以可能跟架設 web server 有關的 APP 最有可能. 而我本身沒有在 NAS 上 run web server, 也就逃過一劫

mandymak

mandymak
個人積分：11分
文章編號：64222802

11分

12樓

2017-05-03 7:37

pdaliu wrote:
我有兩台 Q 家的...(恕刪)

我也沒架Web server也中招, 目前看來疑似virtualization station出事.

pdaliu

pdaliu
個人積分：157分
文章編號：64223208

157分

13樓

2017-05-03 8:37

mandymak wrote:
我也沒架Web server...(恕刪)

我有用 virtualization station, 也有升級, 所以應該不是

watermonster

watermonster
個人積分：167分
文章編號：64223382

167分

14樓

2017-05-03 8:52

TS-251，4.3.3，APP有更新，Virtualization Station有更新沒事+1
我記得web server在某些服務\app開啟的情況下似乎即使關閉了還是會處於啟動狀態

polinsu

polinsu
個人積分：46分
文章編號：64225003

46分

15樓

2017-05-03 10:38

rf5000 wrote:
剛剛看到QTS 4...(恕刪)

剛剛看到這篇，馬上把新買來做NAS備份NAS的453A的IP對外block，舊的NAS 453 PRO因為沒更新所以還沒做任何動作。

SSH連進去453A查看結果，

[~] # ps -ef | grep disk_manage.cgi
8034 admin Z N [disk_manage.cgi]
8037 admin Z N [disk_manage.cgi]
8038 admin Z N [disk_manage.cgi]
8041 admin Z N [disk_manage.cgi]
8042 admin Z N [disk_manage.cgi]
8043 admin Z N [disk_manage.cgi]
8078 admin Z N [disk_manage.cgi]
8114 admin 9116 S N disk_manage.cgi
8515 admin 1148 S grep disk_manage.cgi

SHH連進去453 PRO查看結果，
[~] # ps -ef | grep disk_manage.cgi
29375 admin 544 S grep disk_manage.cgi

請問這樣是有中還是沒中，因為對LINUX的指令不是很聊解,所以請高手回覆一下，謝謝。

npc

npc
個人積分：856分
文章編號：64225633

856分

16樓

2017-05-03 11:21

今天QNAP官方有辦研討會，可以直接問官方工程後續處理狀況😁

Metrostar Ghia-Limited 225/45/R17　　　power by MMC!

TheTurtle

TheTurtle
個人積分：218分
文章編號：64225719

218分

17樓

2017-05-03 11:27

polinsu wrote:
剛剛看到這篇，馬上...(恕刪)

你下 crontab -l | grep rcu_shed

看看有沒有出現 */3 * * * * /mnt/ext/opt/apache/bin/php /mnt/HDA_ROOT/rcu_shed

可以先將這行遮掉

修改方法
crontab -e 會進入類似 vi 編輯畫面

pccr10001

pccr10001
個人積分：121分
文章編號：64225803

121分

18樓

2017-05-03 11:31

上禮拜買的TS-831XU升級到4.3.3沒事
ARM處理器的應該不會有事情吧XDD

APP只有裝支援中心跟QTS SSL

rf5000

rf5000
個人積分：136分
文章編號：64225813

136分

樓主

2017-05-03 11:32

polinsu wrote:
剛剛看到這篇，馬上把...(恕刪)

感謝watermonster指正「可能中標」跟「中標」完全兩回事
應該說你「可能中標」了！

atrust

atrust
個人積分：627分
文章編號：64225892

627分

20樓

2017-05-03 11:36

如果disk_manage.cgi是出現在「資源監控」-「執行程序」裡
但狀態是「廢止」呢?