ti
圖片引用自:新浪香港數碼

  自從比特幣大放光華後,越來越多的網友都在進行「挖礦」這個動作,什麼是比特幣呢? 這篇文章中耶魯熊就不多聊了,因為這不是這篇文章的重點,如果對比特幣有興趣想了解的人,可以看看耶魯熊朋友廖阿輝的這段訪談,大約就會有個概念了,也因為很多網友在透過「挖礦」來獲取比特幣,但挖礦需要設備才能進行,這時就有一些沒道德的駭客,把腦筋動到越來越普及的 NAS 上了.......

 


      


 

 

  駭客們透過 NAS 本身系統的漏洞,植入比特幣的挖礦程式,讓被植入程式的 NAS 不分日夜的幫駭客們挖礦獲取比特幣,為什麼駭客會選擇 NAS 而不是駭入一般人使用的 PC 呢!? 這是因為在挖礦時,會讓 CPU 的使用率衝到 100%,如果是駭入網友平常在用的電腦,那很容易就會因為電腦莫名的卡頓被發現了,但 NAS 一般在使用上,不會去留意到卡頓問題,也因此成為了駭客下手的目標了。

  目前已知被駭客入侵成功植入挖礦程式的是 Synology 群輝旗下 NAS,不過群輝也在收到網友回報後,在最快的時間內發佈了修補漏洞的檔案及相關訊息

Synology® 發布 DiskStation Manager 安全性更新

 

台灣台北— 2014 年 2 月 14 日—群暉科技 Synology® 發布 DiskStation Manager 安全性更新,兩項已知的系統風險 (CVE-2013-6955 與 CVE-2013-6987) 可能造成 DSM 系統執行權限受到入侵。為防止惡意程式攻擊, DSM 版本更新已隨之發布。

遭受攻擊的 DiskStation 與 RackStation 可能出現以下徵兆:

  • 資源監控中心偵測到異常滿載的 CPU 使用率:
    資源監控中心顯示 CPU 資源被 dhcp.pid、minerd、synodns、PWNED、PWNEDb、PWNEDg、PWNEDm,或其他名為 PWNED 的處理程序佔據資源
  • 不屬於 Synology 的資料夾:
    名為 startup 的共用資料夾被建立於系統中;或在 /root/PWNED 路徑下,出現不屬於 Synology 的資料夾
  • Web Station 自動導向非指定頁面:
    Index.php 被導向至非指定頁面
  • 不屬於 Synology 的 CGI 程式檔:
    /usr/syno/synoman 路徑下出現無意義的檔案名稱
  • 不屬於 Synology 的指令程式:
    /usr/syno/etc/rc.d 路徑下出現如 S99p.sh 等,不屬於 Synology 的指令程式。

 

如果使用者察覺以上異常系統行為,建議按照以下步驟進行更新:

  • DSM 4.3 的 DiskStation 或 RackStation 使用者,請依照指示步驟,重新安裝 DSM 4.3-3827
  • DSM 4.0 的 DiskStation 或 RackStation 使用者,建議從 Synology 下載中心,重新安裝 DSM 4.0-2259 或更新版本
  • DSM 4.1 或 DSM 4.2 的 DiskStation 或 RackStation 使用者,建議從 Synology 下載中心,重新安裝 DSM 4.2-3243 或更新版本

 

未遭遇上述徵兆的使用者,建議可從 DSM > 控制台 > DSM 更新頁面,更新至上述版本,保障 DiskStation 免於惡意攻擊。

Synology 已於偵測到惡意攻擊的同時,即刻發布版本更新。面對日益純熟的網路犯罪與猖獗的惡意程式,Synology 堅持最高標準的系統安全保障,持續投注資源,提供使用者最受信賴的儲存解決方案。若使用者更新至最新版本 DSM 後,仍偵測到異常運作行為,請即刻聯繫 security@synology.com

http://www.synology.com/zh-tw/company/news/article/437

 

如果有使用群輝 NAS 的朋友快點更新自己的 DSM 來修補這個漏洞,並移除被植入的挖礦程式吧。

  接下來耶魯熊要教大家怎麼看自己的 NAS 是不是有被駭客植入挖礦程式吧

Synology (群輝) NAS:


  進入 DSM 頁面,點選左上角的「主選單」叫出「主選單」後點選紅框處的「資源監控」



  接著點選左邊的「效能」點選紅框處的「CPU」,這時放著觀查一陣子 ( 大約十分鐘左右 ),看看使用率是不是八成都在 90~100%,如果是,那大約就是被植入了



  接下來再點選左側的「程序」查看是不是有「PWNED」開頭的程序名稱在執行,如果有看到,那也表示中獎被植入了,趕快去做 DSM 的更新  !!


 

 QNAP (威聯通) NAS


  進入 QTS 管理頁面,點選紅框處的「控制台」


  進入控制台後,再點選紅框處的「系統狀態」開啟功能


  先點選右上紅框處的「資源監控」再點選左側的「CPU 使用率」,這時會出現 CPU 使用率,這時放著觀查一陣子 ( 大約十分鐘左右 ),看看使用率是不是八成都在 90~100%,如果是,那大約就是被植入了



  接著再點選左側的「程序」查看是不是有「PWNED」開頭的程序名稱在執行,如果有看到,那也表示中獎被植入了,如果發現這種情況,請立即連絡 QNAP 客服反應 !!


 

 ASUSTOR (華芸) NAS:



  進入 ADM 管理介面,點選紅框處的「資源監控」圖示開啟資源監控頁面



  進入資源監控頁面後,點選左上方紅框處的「CPU」頁籤,進入 CPU 使用率畫面這時放著觀查一陣子 ( 大約十分鐘左右 ),看看使用率是不是八成都在 90~100%,如果是,那大約就是被植入了



  接著再點選右上紅框處的「程序」頁籤,查看是不是有「PWNED」開頭的程序名稱在執行,如果有看到,那也表示中獎被植入了,如果發現這種情況請立即向華芸客服反應!!


 


 

 

熊後語:

  NAS 的普及,讓大家都存放檔案時也更加方便,但也因為普及而引來駭客的惡意入侵利用,這也是大家必需要面對情況,之後耶魯熊會再寫一篇簡單的 NAS 防駭文章,讓大家可以透過一些簡單的方法,過濾掉一些不入流的假駭客入侵,不過群輝也不愧是有大廠的風範,在一經使用者回報這種情況後,在最短的時間內就修補了漏洞,並且發佈了更新,如果你目前使用的是群輝的 NAS,趕快先去更新 DSM 版本吧!!

 

 

如你覺得這篇分享有幫助到你,請到耶魯熊的粉絲團去按個讚吧:

https://www.facebook.com/lbeartw

 

文章標籤
創作者介紹

耶魯熊の軟硬兼施

耶魯熊 發表在 痞客邦 PIXNET 留言(0) 人氣()