Bitcoin miner langsames QTS

  • Hallo Leute,


    ich habe leider feststellen müssen, dass mein NAS mit dem Bitcoinminer befallen ist. Habe bislang folgendes getan: Alle offenen Ports geschlossen (Router) , neues Betriebssystem installiert 5.0.0.1891, neue "sichere" Passwörter für Admin Kontos vergeben, Maleware remover laufen lassen (scan ok), den security counselor installiert. Leider ist mein NAS noch immer super langsam mir hat der Support folgendes geschrieben:

    Mod: Nicht deklariertes Zitat ohne Quellenangabe ... korrigiert! :handbuch::arrow: Forenregeln beachten und Die Zitat Funktion des Forums richtig nutzen


    Ich kann leider nicht viel damit anfangen kann mir einer von Euch sagen, was ich genau tun muss (habe einen Windows PC und einen MAC) um mein Nas wieder zum laufen zu bekommen? Soll der Hashtag mitkopiert werden oder nur dieser Code? Ich weiss nicht was ein Shell und was Putty sind... Die Ports hatte ich auch nur wegen der Qnap Fernwartung aufgrund eines anderen Problems geöffnet. Soll ich das NAS nicht lieber mal komplett platt machen? Gibts dafür irgendwo eine ausführliche Anleitung?
    Hoffe einer von Euch weiss Rat!


    Schönen Abend,


    Matthias

  • Festplatten raus

    Bereinigen (z.B. diskpart Option clean)

    NAS neu aufsetzen (autostart.sh check das keine kryptischen Einträge mehr drinne sind)


    Daten aus Backup holen und NAS nie wieder dem WAN ausetzen

  • Was soll denn der Screenshot zeigen? Da sieht doch nichts nach einem Miner aus.

  • Könnte ja sein das der OOM_REAPER da mit ner hohen PID läuft aber die CPU Last verschleiert?

  • Der oom_reaper läuft bei mir auch, scheint zum System zu gehören. Wobei sich Miner natürlich auch gerne als bekannter Prozess tarnen...


    Mich würde schon interessieren, woran hier ein Miner erkannt wurde?

  • Moin Leute,

    naja also der Qnap Support hat mir in einer vorherigen Nachricht mitgeteilt, dass der Prozess "oom_reaper" höchstwahrscheinlich der getarnte Bitcoinminer ist.


    dolbyman leider verstehe ich die Vorgehensweise, die du in deiner Nachricht beschrieben hast nicht. Soll ich die Festplatten rausnehmen und z.B. mit dem Western Digital Tool (meine HDDs sind alle von WD) formatieren und dann anschliessend wieder in das NAS einbauen? Danach müsste ich doch wieder in den Einrichtungsassistenten im NAS gelangen. Was ist mit check autostart.sh gemeint? Reicht es die HDDs zu formatieren oder muss am NAS auch etwas getan werden?

    Bin um jede Hilfe sehr dankbar!

    Schönen Abend Euch!



    Matthias

  • Das ist so nicht ganz richtig.

    Der Prozess oom_reaper ist ein Systemprozess.

    Wenn das NAS infiziert ist, dann nennt sich dieser Prozess auch oom_reaper, hat aber eine höhere PID.

    So stand es im Security Advisory.

    Nur vom Vorhandensein des Prozesses kann nicht auf den Miner geschlossen werden.


    Gruss

  • Könnte ja sein das der OOM_REAPER da mit ner hohen PID

    Wenn das NAS infiziert ist, dann nennt sich dieser Prozess auch oom_reaper, hat aber eine höhere PID.


    Hab ich ja bereits oben erwähnt ... und stand ja auch in dem Link zum QNAP Advisory drinne.


    Ich hoffe der QNAP Support hat da auch die PID gecheckt und nicht nur den Prozessnamen :qclub:

  • Sorry, da muss ich mich auch da einreihen, wo ich eine Antwort überlesen habe. ?(

    Kommt davon, wenn zwischen dem Schreiben und Abschicken der Antwort die Katze ihre Streicheleinheiten fordert. :D


    Gruss

  • So, habe angefangen die HDDs platt zu machen. Woher weiss ich was ein Prozess ist, der nicht in den Autorun gehört?

  • Reicht "clean" oder muss ich mit "clean all" formatieren? Clean all würde bei 4x3tb ja fast ne ganze Woche dauern? Können die platten nachdem clean ausgeführt wurde wieder ins nas oder muss vorher noch etwas getan werden?


    EDIT:


    So, ich habe jetzt mit dem Befehl "clean" in Diskpart das Volume von den Laufwerken gelöscht.


    Danach habe ich einen RAM Test von einem Boot fähigen USB Stick laufen lassen. (siehe Screenshot) Ergebnis war ok.


    Anschließend habe ich alle HDDs in das NAS gesetzt und den Einrichtungsassistenten durchgeclickt. Inzwischen erreiche ich die NAS wieder über den Browser. Plötzlich wird mir die Festplatte in Schacht 1 vom System als defekt angezeigt. Ein ähnliches Problem hatte ich mit einer anderen HDD vor ca 1 Monat (ich habe die HDDS numeriert und es kommen immer die gleichen HDDS in die entsprechenden Schächte. Ich habe damals die HDD gegen eine neue ausgetauscht und in meinen stationären Rechner, wo sie seither tadellos läuft gesteckt. Des Weiteren erhalte ich Warnmeldungen, in denen mir angezeigt wird, das auf bestimmte Shared Folders nicht zugegriffen werden kann und das Volume gesperrt ist, kann mir jemand bitte erklären was es damit auf sich hat? Werde wahrscheinlich noch eine neue HDD kaufen, da damals nichts den Fehler beheben konnte....

  • dolbyman danke!


    Weiss jemand was es mit diesen Fehlermeldungen bezüglich der Shared Folders auf sich hat?



    Grüße,


    Matthias

  • dolbyman ja, habe alles gelöscht. Ich werde jetzt nochmal die HDD im Schacht 1 an das WD Diagnosetool anschliessen und schauen was die SMART Daten sagen. Des Weiteren mache ich ein OS Downgrade von 5.0.0.1891 auf 4.5... mal sehen was dann passiert.



    EDIT: Also 4.5 ist jetzt installiert und weiterhin bestehen alle Fehlermeldungen.


    Wenn ich dem angegbenen Pfad folge : Systemsteuerung -> Freigabe Ordner -> Standard Freigabgeordner wiederherstellen und das dann bestätige wird mir folgendes (siehe Screenshot) angezeigt und es tut sich erstmal nichts weiter....




    EDIT 2: Nachdem ich nun die als defekt angezeigte HDD entfernt habe hat meine NAS die HDDS in Schacht 3 und 4 ebenfalls disconnected. Ich habe keine Ahnung warum das System das so macht... Die HDD aus Schacht 1 ist grad am stationären PC angeschlossen und es läuft Western Digital Lifueguard Diagnostics. Mal sehen was weiter passiert... (screens anbei)

  • Ich würde noch mal komplett bei Null anfangen. 10s-Reset beim NAS und alle Platten am PC testen und cleanen.

    Und nach Neueinrichtung nur die reinen Daten aus deiner Backuplösung zurückholen.