Pomoc kthreaddnai malware? kionai

Mattax

System Engineer
Q Specialist
13 Luty 2017
149
6
18
36
QNAP
TS-653D
Ethernet
null
mam poces który zabiera 50% proca nie mniej nie więcej odpalony przez httpduser ktoś pomoże?

Wersja oprogramowania Firmware: x.x.x Build 20YYMMDD
Model serwera: QNAP XX-XXX,

upload_2019-4-6_9-10-59.png
 
Uruchom Malware remover i skanowanie antywirusem
Ja bym jeszcze przeinstalował QTS-a poprzez aktualizację, tak dla pewności. Jak to nie pomoże, to czeka Cię postawienie od nowa całego systemu.
 
@nelik1987 - masz najnowszy firmware i malware remover ?


POZA TYM :
Nie zostawiamy domyślnych haseł - nigdzie!
jak będzie dziura w oprogramowaniu , to wiesz na pewno że to nie weszło od strony hasła :)

nie wciągamy portów na zewnątrz na domyślnych portach bez powodu ... tak, ból dupy zrobić przekierowanie na inny port SSH/Web/FTP i tłumaczyć to głąbom..
 
Tak najnowszy firmware i malware remover który nic nie wykrywa. Doszukałem się ciekawych plików w folderze Web, czy coś takie powinno tam siedzieć, cyba raczej nie?
 

Załączniki

  • 2019-05-06_00h00_11.png
    2019-05-06_00h00_11.png
    69 KB · Wyświetleń: 36
Miałem włączony serwer WWW bo jak sądziłem potrzebuję go by działały przeglądarkowe aplikacje na przykład Traccar. Okazuje się, że serwer WWW nie musi być włączony. Niestety zapewne przez to narobiłem sobie syfu. W folderze WEB wszystkie pliki poza index.PHP były zainfekowane. Ciekawostka:
Dzisiaj zauważyłem, że znacząco zwalniał mi internet, dochodziło nawet do tego, że pojawiał się komunikat "brak dostępu do internetu". Obwiniłem oczywiście router który pewnie zamulił, kilka jego restartów i wszystko wracało do normy. Rozejrzałem się już nawet za nowym routerem :) Teraz zauważyłem pewną ciekawą zależność. Chciałem skopiować pliki znalezione w folderze WEB na dysk by wysłać je do skanowania. Przy każdej próbie skopiowania traciłem połączenie z internetem i z QNAPe, chociaż jest on w sieci LAN. Przebadałem pingi do routera i widać było, że przy próbie skopiowania lub usunięcia zainfekowanych w folderze WEB czas odpowiedzi rósł aż do momentu zawieszenia się routera UPC. Pliki usunąłem przez WinSCP. Teraz poczekam co się będzie działo.

Ping do router podczas kopiowania zainfekowanych plików:
2019-05-06_00h15_26.png
 
OK, dzisiaj usunąłem jeszcze raz pliki z katalogu WEB, wyłączyłem serwer SQL i serwer WWW, następnie ubiłem proces kionai i reset napa. Jak na razie problem nie powrócił a serwer dostał nowe życie, działa jak rakieta :) No i Qsync zaczął prawidłowo i szybko działać :)
 
Cześć, jak wyżej, co jakiś czas odnawia mi się proces kionai po tym jak ubije. Ponadto powracają pliki /tmp/ i Web typu: god, inet, lan użytkownik httpduser.
- phpMyAdmin odinstalowany
- Container Station nie uruchomiony

Czemu Malware Remover (3.4.1) jak i Antywirus nic nie wykrywa ? Support QNAP nie pomoże ?

Model serwera: QNAP TS-251