如果你有群晖的NAS, 不管是官方成品还是自己DIY的, 这两天看一下“资源监控” 或者SSH后PS命令, 如果:
A 资源监控中看到几个httpd的进程占用了几乎100%CPU,比如你的是ATOM双核就看到两个httpd进程, 加起来占用了接近100%
B SSH的话, 看到进程 httpd******startum***后面是一个陌生IP地址
C 我这里看到的不止httpd进程, dhcpd进程也是可能的怀疑点, 如果你看到dhcpd*****startum***也有很高占用的话
那么恭喜你可能被黑在帮人挖矿了
如果你用kill杀掉进程, 当时CPU 占用会下来, 但过一会又会上去, 因为还能黑进来
目前大家的症状观察, 看起来是有黑客扫描5000端口(也就是默认群晖管理端口), 然后利用漏洞把你的NAS变成挖矿机, 而所有没有把5000端口开放到外网的, 几乎都没有中招
应对:
1. 升级到DSM5.0, 不过这个可能引起的问题请各位自己考虑好, 5.0 XP那边刚出来不久, 稳定性未知
2. 改变你的NAS映射端口,不要使用外部端口5000, 比如你可以使用15000 端口映射到NAS的5000端口. 这需要在路由器上设置
我自己采用了#2, 今天会观察一夜, 看是否能有效
另外,我观察发现, 被黑后你的/etc/rc.local 可能会被改变, 打开SSH,
vi /etc/rc.local
如果你安装过ipkg 应该看到是这样:
但如果你被黑了在执行httpd, 你看到的会是
/var/run/httpd-log.pid …… stratum XX:XX:XX:XX (一个IP地址)
请务必删去这个rc.local, 重新安装ipkg bootstrap, 以免下次启动又悲剧
另外, 我也发现/var/run/httpd-log.pid 在今天被改动过, 但无法确认是否可以删除, 可否有好心人也用SSH查看下, 是否未被黑的群晖系统/var/run 也有这个文件? 我的文件大小是592464 , 我的群晖版本是DSM4.2-3211 X64
—
设置自动ban掉尝试连接 nas 的ip没用的,根本不是从web页面登录,直接利用漏洞攻击,连系统日志都没记录。
—
群晖工程师的回复:
感謝您的來信。
在舊版DSM當中存在一個漏洞,會讓攻擊者能夠取得最高權限殖入惡意程式,我們已經在DSM 4.3-3810 Update 1之後的版本修復了這個問題:
http://www.synology.com.tw/zh-tw/releaseNote/model/DS412+
由於我們無法確認攻擊者在進入您的DS之後,是否還有留下其他的後門,為了保險起見請您在DSM功能表『備份和還原』頁面當中,將目前的DSM系統設定備份為.dss檔案匯出。
然後請您參考我們的這條FAQ來重新安裝DSM之後,再還原您所備份的系統設定檔即可恢復正常使用,這個動作不會對儲存空間當中的資料造成影響:
http://www.synology.com.tw/zh-tw/support/faq/348
在您重新安裝DSM完成之後,請您從DSM『控制台>>系統更新』頁面當中,將DSM升級至最新版本的DSM 4.3-3810 Update 4,以避免往後再次發生同樣的問題。
若是還有其他關於DSM使用上的問題,歡迎您再填寫技術支援表格與我們聯絡.
