Chiphell - 分享与交流用户体验

 找回密码
 加入我们
搜索
      
查看: 63929|回复: 66

还是发这里吧, 大家注意下自己的群晖NAS有没有被黑

[复制链接]
发表于 2014-2-13 22:30 | 显示全部楼层 |阅读模式
本帖最后由 jimmyjin 于 2014-2-16 20:00 编辑

如果你有群晖的NAS, 不管是官方成品还是自己DIY的, 这两天看一下“资源监控” 或者SSH后PS命令, 如果:
A 资源监控中看到几个httpd的进程占用了几乎100%CPU,比如你的是ATOM双核就看到两个httpd进程, 加起来占用了接近100%
B SSH的话, 看到进程 httpd******startum***后面是一个陌生IP地址
C 我这里看到的不止httpd进程, dhcpd进程也是可能的怀疑点, 如果你看到dhcpd*****startum***也有很高占用的话
那么恭喜你可能被黑在帮人挖矿了
如果你用kill杀掉进程, 当时CPU 占用会下来, 但过一会又会上去, 因为还能黑进来

目前大家的症状观察, 看起来是有黑客扫描5000端口(也就是默认群晖管理端口), 然后利用漏洞把你的NAS变成挖矿机, 而所有没有把5000端口开放到外网的, 几乎都没有中招

应对:
1. 升级到DSM5.0, 不过这个可能引起的问题请各位自己考虑好, 5.0 XP那边刚出来不久, 稳定性未知
2. 改变你的NAS映射端口,不要使用外部端口5000, 比如你可以使用15000 端口映射到NAS的5000端口. 这需要在路由器上设置

我自己采用了#2, 今天会观察一夜, 看是否能有效

另外,我观察发现, 被黑后你的/etc/rc.local 可能会被改变, 打开SSH,
  1. vi /etc/rc.local
复制代码
如果你安装过ipkg 应该看到是这样:
捕获.JPG
但如果你被黑了在执行httpd, 你看到的会是
/var/run/httpd-log.pid  ...... stratum  XX:XX:XX:XX   (一个IP地址)

请务必删去这个rc.local, 重新安装ipkg bootstrap, 以免下次启动又悲剧

另外, 我也发现/var/run/httpd-log.pid 在今天被改动过, 但无法确认是否可以删除, 可否有好心人也用SSH查看下, 是否未被黑的群晖系统/var/run 也有这个文件? 我的文件大小是592464 , 我的群晖版本是DSM4.2-3211 X64

【2.16更新】目前群晖官方已经释出DSM 4.3-3827 正式版固件封堵漏洞, DIY方面, NAS1封刀已久的O大已经出山在紧张的recompile对应版本, 算是皆大欢喜吧

评分

参与人数 1邪恶指数 +30 收起 理由
ltycomputer + 30

查看全部评分

发表于 2014-2-13 22:36 | 显示全部楼层
卧槽黑客居然用群晖那些arm处理器挖矿……
发表于 2014-2-13 22:36 | 显示全部楼层
NAS变成挖矿机

用nas挖矿属于弱智还是逗逼?
 楼主| 发表于 2014-2-13 22:42 | 显示全部楼层
andyrave 发表于 2014-2-13 22:36
NAS变成挖矿机

用nas挖矿属于弱智还是逗逼?

有很多人用X86的IVY甚至Haswell DIY群晖的, 算力还是有点。
这次貌似是利用群晖5000端口的管理界面
发表于 2014-2-13 23:15 | 显示全部楼层
平常远程多用SSH映射和VPN吧,开端口还是挺危险的
发表于 2014-2-14 00:13 | 显示全部楼层
pid 文件应该只是用来放进程号的,所以正常应该只有几个字节而已。像你这种几百k的文件,肯定是出问题了。
发表于 2014-2-14 00:16 | 显示全部楼层
andyrave 发表于 2014-2-13 22:36
NAS变成挖矿机

用nas挖矿属于弱智还是逗逼?

不要把自己想不明白的事都当别人是傻子。
就算一台 nas 只有正常矿机10万分之一的计算力。如果黑客能控制10万台nas的话,那是不是说他白得了1台矿机?
发表于 2014-2-14 00:21 | 显示全部楼层
我的黑群4.1被黑了,直接关机了,反正最近用不上。
发表于 2014-2-14 00:49 | 显示全部楼层
andyrave 发表于 2014-2-13 22:36
NAS变成挖矿机

用nas挖矿属于弱智还是逗逼?

蚊子肉也是肉啊,中国每个人给你一块钱你也是亿万富翁了
发表于 2014-2-14 02:27 | 显示全部楼层
leojay 发表于 2014-2-14 00:16
不要把自己想不明白的事都当别人是傻子。
就算一台 nas 只有正常矿机10万分之一的计算力。如果黑客能控制 ...

我也是这样认为,而且连电费都不用交,多好
发表于 2014-2-14 08:38 | 显示全部楼层
昨晚观察了一晚上,都没有出现CPU突然爆满的现象,进程无异常成寻~系统是DSM4.2 0716,主板是Z87U,网卡是8111g,用得是磊科的路由,3322的DDNS,有装DTS解码器,仅供参考~

点评

Z87上DSM…………妥妥壕  发表于 2014-2-14 16:14
发表于 2014-2-14 09:19 | 显示全部楼层
楼主是对的,我的也悲剧了,还是白群晖,用的DSM4.3 3776。
synology.jpg
 楼主| 发表于 2014-2-14 09:42 | 显示全部楼层
小生 发表于 2014-2-14 02:27
我也是这样认为,而且连电费都不用交,多好

关键是否把管理页面的5000端口映射了
发表于 2014-2-14 09:51 | 显示全部楼层
azraelgz 发表于 2014-2-14 09:19
楼主是对的,我的也悲剧了,还是白群晖,用的DSM4.3 3776。

白群晖也被搞了?
发表于 2014-2-14 09:51 | 显示全部楼层
azraelgz 发表于 2014-2-14 09:19
楼主是对的,我的也悲剧了,还是白群晖,用的DSM4.3 3776。

白群晖也被搞了?
发表于 2014-2-14 10:05 | 显示全部楼层
fcooqdei 发表于 2014-2-14 09:51
白群晖也被搞了?

嗯,用的是端口攻击,黑白通杀
发表于 2014-2-14 10:05 | 显示全部楼层
小生 发表于 2014-2-14 10:05
嗯,用的是端口攻击,黑白通杀

看来还是得放内网,需要时pptp进来
发表于 2014-2-14 10:09 | 显示全部楼层
看来还是VPN安全点。
发表于 2014-2-14 10:10 | 显示全部楼层
fcooqdei 发表于 2014-2-14 09:51
白群晖也被搞了?

这是群晖DSM系统的BUG,跟黑白群晖没什么关系。
我刚从白转黑1个月,系统是DSM4.3 3810,目前没有被侵入
 楼主| 发表于 2014-2-14 10:14 | 显示全部楼层
azraelgz 发表于 2014-2-14 09:19
楼主是对的,我的也悲剧了,还是白群晖,用的DSM4.3 3776。

白裙就赶快升 DSM5.0 , 据说已经封上这个漏洞
发表于 2014-2-14 10:27 | 显示全部楼层
jimmyjin 发表于 2014-2-14 10:14
白裙就赶快升 DSM5.0 , 据说已经封上这个漏洞

我已经提了问题回报单给群晖的工程师了,还在等回复。看看有什么办法处理。
发表于 2014-2-14 10:33 | 显示全部楼层
群晖工程师的回复:

感謝您的來信。

在舊版DSM當中存在一個漏洞,會讓攻擊者能夠取得最高權限殖入惡意程式,我們已經在DSM 4.3-3810 Update 1之後的版本修復了這個問題:

http://www.synology.com.tw/zh-tw/releaseNote/model/DS412+

由於我們無法確認攻擊者在進入您的DS之後,是否還有留下其他的後門,為了保險起見請您在DSM功能表『備份和還原』頁面當中,將目前的DSM系統設定備份為.dss檔案匯出。

然後請您參考我們的這條FAQ來重新安裝DSM之後,再還原您所備份的系統設定檔即可恢復正常使用,這個動作不會對儲存空間當中的資料造成影響:
http://www.synology.com.tw/zh-tw/support/faq/348

在您重新安裝DSM完成之後,請您從DSM『控制台>>系統更新』頁面當中,將DSM升級至最新版本的DSM 4.3-3810 Update 4,以避免往後再次發生同樣的問題。

若是還有其他關於DSM使用上的問題,歡迎您再填寫技術支援表格與我們聯絡。
发表于 2014-2-14 10:42 | 显示全部楼层
jimmyjin 发表于 2014-2-14 10:14
白裙就赶快升 DSM5.0 , 据说已经封上这个漏洞

群晖的工程师提供的解决方案就是 重装系统
发表于 2014-2-14 11:03 | 显示全部楼层
我看还是主要针对黑裙为主,挖矿的话GPU是主要性能指标。白裙ATOM用户最好还是当心点,其他ARM架构的简直弱爆了,不知道一个月能挖到几个。。。
发表于 2014-2-14 11:14 | 显示全部楼层
喜子 发表于 2014-2-14 11:03
我看还是主要针对黑裙为主,挖矿的话GPU是主要性能指标。白裙ATOM用户最好还是当心点,其他ARM架构的简直弱 ...

关键时候白群的技术支持还是有点用的,黑群要自己去找资料摸索,不太适合现在的快餐文化。
发表于 2014-2-14 11:33 | 显示全部楼层
设置自动ban掉尝试连接 nas 的ip
发表于 2014-2-14 12:18 | 显示全部楼层
Will 发表于 2014-2-14 11:33
设置自动ban掉尝试连接 nas 的ip

没用的,根本不是从web页面登录,直接利用漏洞攻击,连系统日志都没记录。
发表于 2014-2-14 12:34 | 显示全部楼层
黑客真厉害~
发表于 2014-2-14 13:43 | 显示全部楼层
多谢提醒啊!

俺的也被黑了,怪不得这两天CPU一直满负荷运行……

版本,Hyper  4.2 3202

不要小看这点计算能力,俺用HTPC虚拟机装的……用U的是HASWELL 的I5  4570……很多用虚拟机的同学其实不差的
 楼主| 发表于 2014-2-14 13:49 | 显示全部楼层
maxhuman 发表于 2014-2-14 13:43
多谢提醒啊!

俺的也被黑了,怪不得这两天CPU一直满负荷运行……

可能始作俑者看重的就是虚拟机黑裙晖机器的运算力。
官方那几个ATOM 机型,倒是不够看的
您需要登录后才可以回帖 登录 | 加入我们

本版积分规则

小黑屋|手机版|Archiver|Chiphell ( 沪ICP备12027953号-5 )沪公网备310112100042806 上海市互联网违法与不良信息举报中心

GMT+8, 2020-11-29 01:05 , Processed in 0.013493 second(s), 21 queries , Gzip On, Redis On.

Powered by Discuz! X3.2

© 2007-2020 Chiphell.com All rights reserved.

快速回复 返回顶部 返回列表