Heutige Info-Mail "QNAP Security Advisory | Bulletin ID: QSA-21-56"

    Guten Morgen,


    habe heute Morgen eine Infomail von Qnap bezüglich eines Bitcoin Miner bekommen, oom_reaper.

    Direkt mal nachgeschaut ob solch ein prozess auf meiner Nas 1688 am laufen ist, und siehe da ein prozess Namens"oom_reaper" ist auch vorhanden, siehe screenshot.

    Da die NAS keinen Zugang zum Internet hat ( von meiner Firewall geblockt ), kann es sein das es sich hierbei um einen normalen Prozess handelt?

    Ein Malewarescan brachte mir auch keine neue Erkenntnisse.

    Hat jemand eine Idee?


    Grüße


    Andreas

    Ich vermute oom_reaper gehört zu Qboost, was ich bei mir allerdings auf allen NAS abgeschaltet habe, daher habe ich so einen Prozess nicht.

    QNAP schreibt ja auch, dass der Prozess im Fall von Malware idR eine PID größer 1000 hat, was bei Dir nicht zutrifft.


    Demnach dürfte das ok sein, bin aber gespannt ob andere mit aktivem Qboost auch diesen Prozess haben.

    Wenn ich das Security Advisory so lese, dann ist das genau die Malware.

    Da ich aber kein QTS Hero habe, kann ich Dir nicht sagen, ob es bei Hero ein normaler Prozess ist.

    Ich tendiere aber zu nein!

    Beim QTS gibt es den Prozess jedenfalls nicht in meinem NAS.


    Kannst Du definitv ausschließen, das das NAS nicht doch einmal erreichbar war?


    Gruss

    Mod: Unnötiges Volltext-/Direktzitat entfernt! :handbuch::arrow: Forenregeln beachten und Die Zitat Funktion des Forums richtig nutzen

    das glaube ich langsam auch, hier auch auf meiner TVS1282 zu finden, welche auch kein I-Net Zugang hat und zur Zeit nur als Backup NAS dient, ansonsten ist Sie ausgeschaltet :)


    Mod: Zitat ohne Quellenangabe ... korrigiert! :handbuch::arrow: Forenregeln beachten und Die Zitat Funktion des Forums richtig nutzen

    Zitat von FSC830

    Kannst Du definitv ausschließen, das das NAS nicht doch einmal erreichbar war?

    Also ich erlaube meiner NAS nur temporär zur Uhrzeitsynchronisierung das Sie Zugang zum I-Net hat, und das nur ziemlich kurz, somit dürfte ein Befall meiner Meinung nach ausgeschlossen sein, sei denn der Befall kommt direkt von einem Clientrechner, welche allerdings nur Zugriff per SMB haben :/

    :/

    Damit kann der Prozess dann schonmal nicht QuTS hero-speziell sein.


    Parallel würde ich mich schonmal an den Support wenden...

    Doch, scheint ein Systemprozess zu sein, ich habe ihn jetz auch bei mir gefunden.

    NAS können ebenfalls nicht von außen angesprochen werden (nur über VPN) und dieses NAS habe ich noch nie von außen angefasst.

    Hatte den Prozess vorhin nicht gefunden, weil die Prozesse nach App sortiert waren.


    pasted-from-clipboard.png


    Gruss


    Edit: das Advisory noch einmal gelesen:


    Zitat von QNAP Security Advisory


    This process mimics a kernel process but its PID is usually greater than 1000

    Der Miner kapert also den Kernel Process und verändert die PID.

    Das steht doch eigentlich in dem Qnap-Sicherheitshinweis drin:

    Zitat von Qnap

    Once a NAS is infected, CPU usage becomes unusually high where a process named "[oom_reaper]" could occupy around 50% of the total CPU usage. This process mimics a kernel process but its PID is usually greater than 1000

    "Mimics a kernel process" heißt, der Schadprozess hat sich den Namen eines normalen Kernel-Prozesses gegeben, in diesem Falle dem des oom_reaper.


    oom_reaper ist ein normaler Linux-Prozess. Den gibt es auf meinem Ubuntu-System ebenfalls. Er hat was mit dem Out-of-Memory-Management zu tun.


    Ein Schadprozess ist es nur dann, wenn (im Falle von Qnap) die Prozess-ID größer als 1000 ist und der Prozess eine hohe Systemlast verursacht. Der normale Kernel-Prozess oom_reaper hat bei mir die Pid 544 und 0% CPU-Last und ist damit harmlos.


    Edit:

    Zitat von FSC830

    Der Miner kapert also den Kernel Process und verändert die PID.

    Stimmt nicht. Da wird kein Prozess gekapert. Der Schadprozess ist ein völlig anderer und unabhängiger Prozess, der sich nur denselben Namen gegeben hat. Er verändert auch keine Pid, sondern er hat beim Start vom System eine höhere Pid zugewiesen bekommen, weil die niedrigen Pids schon vergeben waren.

    So habe ich das auch verstanden. Dennoch habe ich den Prozess bislang auf keinem meiner QNAP gefunden, allerdings alle mit QTS 4.5.x.

    Hatte auch grad mal Qboost aktiviert, dem ich diesen Prozess zugesprochen habe und bin der Meinung, dass ich den Prozess kurzzeitig mit der Suchfunktion im Browser gefunden habe, als ich mit Qboost Speicher frei gemacht habe. Konnte das aber nicht nochmal nachstellen, eventuell habe ich mich getäuscht.


    Edit:

    Unter QTS 5 habe ich diesen Prozess ebenfalls, auch ohne den Qboost-Hampelmann.

    Gehe deshalb davon aus, dass ich mich mit Qboost vorhin auf einem 4.5.x System nicht getäuscht habe und der Prozess dort nur dann gestartet wird, wenn RAM frei gemacht wird.

    Einmal editiert, zuletzt von tiermutter ()

    Zitat von tiermutter

    Gehe deshalb davon aus, dass ich mich mit Qboost vorhin auf einem 4.5.x System nicht getäuscht habe und der Prozess dort nur dann gestartet wird, wenn RAM frei gemacht wird.

    Auf 4.5.4:

    Code
    $ ps -eaf | grep oom
  544 admin           SW  [oom_reaper]

    Den Prozess gibt es immer, und er wird auch nicht erst nach Bedarf gestartet, denn dann hätte er eine höhere Pid.

    Also gibt es den ab 4.5.4. (4.5.3 habe ich hier nicht und kann daher nicht nachschauen.)


    Möglicherweise taucht er im Ressourcenmonitor nicht auf, weil es ein Kernel-Prozess (daher die eckigen Klammern) ist.


    Edit:

    Bei mir taucht er im Ressourcenmonitor auf. Hast du vllt. falsch sortiert oder den einfach übersehen?

    Also sieht es so aus,das mein System clean ist.

    Da hat QNAP mir so richtig ein Schrecken verpasst :)


    Danke für eure Hilfe :)