Bitcoin Miner [oom_reaper]

    Moin,


    kann es sein das es mich erwischt hat, oder ist der Prozess bzw. beide Normal?


    Code
    [xxxxx@NAS1688 ~]$ ps | grep oom_reaper
645 admin           SW  [oom_reaper]
5852 xxxxxxx    876 S   grep oom_reaper

    Laut google wäre der 876 ein Miner!?

    Wenn dem so ist, dann müste dieser schon seid dem Kauf des Gerätes vorhanden sein, da eine Firewall vorgeschaltet ist und sämtlichen träffig nach außen blockieren tut.


    Hat jemand damit Erfahrung?

    Kill ich den Prozess mit der ID 876 ist er sofort wieder da mit einer neuen ID

    Alles sehr merkwürdig.


    Wie sieht eure Ausgabe nach ps | grep oom_reaper aus?


    Grüße

    Andreas

    s. hier.


    How to determine if the running process [oom_reaper] is normal system process?
    Applicable Products: Security A bitcoin miner has been reported to target QNAP NAS. Once a NAS is infected, CPU usage b ...
    www.qnap.com


    Zitat von Andreas1202

    t und sämtlichen träffig nach außen blockieren tut.

    Problem ist nicht der Traffic raus, sondern rein (Portfreigaben) und da wirds haarig.



    ============


    Prozess bei mir


    TBS-453DX

    Code
    [~] # ps | grep oom_reaper
  589 admin           SW  [oom_reaper]
 2353 admin       916 R   grep oom_reaper

    TS-853BU

    Code
    [~] # ps | grep oom_reaper
  591 admin           SW  [oom_reaper]
25736 admin      1008 S   grep oom_reaper


    Prozess ID ist also wie bei dir unter 1000, laut QNAP normal und alles gut

    ahh ok, ich dachte jedoch der 2. Eintrag wäre derjenige laut google...

    Klar der eingehende Trafiic ist natürlich auch gesperrt ( Mit hilfe der MAC Adressen alles blockiert ;) )


    Also falscher Alarm


    Habe noch mal eben schnell auf meiner Synology geschaut, dort ist so ein Prozess oom_reaper überhaupt nicht aufgeführt

    Meine Linux Kenntnisse sind sehr bescheiden.


    Danke für deine schnelle Rückinfo


    Andreas

    Zitat von Andreas1202

    Mit hilfe der MAC Adressen alles blockiert

    Unklar warum hier MAC Adressen zum Tragen kommen sollen, ein einfaches NAT ohne Portforwards und der 'Drops ist gelutscht' da brauchen keine MAC Adressen blockiert zu werden (bei eingehendem Traffic eh nicht) .. aber egal.


    Zitat von Andreas1202

    ich dachte jedoch der 2. Eintrag wäre derjenige laut google

    Ne, das ist der ps (mit grep) der gerade ausgeführt worden ist.

    Zitat von dolbyman

    Unklar warum hier MAC Adressen zum Tragen kommen sollen, ein einfaches NAT ohne Portforwards und der 'Drops ist gelutscht' da brauchen keine MAC Adressen blockiert zu werden (bei eingehendem Traffic eh nicht) .. aber egal.

    Das mache ich falls ich aus irgendeinen Grund mal den Netzwerkport tauschen muss, und dann eine DHCP Adresse bekommen würde, damit ich dann auch garantiert kein ungewollten traffic von außerhalb bekomme trage ich einfach alle MAC Adressen in meiner Firewall ein ;)


    Klar ich könnte auch einfach nur das Gateway in meiner NAS ändern


    Danke für deine Erleuterung

    Der Prozess dürfte auf jedem QNAP NAS mit QTS 5.x (Kernel-Prozess) vorhanden sein.


    War mir noch nie aufgefallen und ist auch laut QNAP ein Systemprozess (siehe Post 2) der immer läuft.


    Hat bei meinem NAS zur Zeit die PID 590 und ist im Ruhemodus (CPU 0% Speicher 0%). Er ist einer von ca. 200 Kernel-Prozessen.

    oom_reaper ist ein immer vorhandener Standard-Linux-Kernel-Prozess. Er ist dafür zuständig, Arbeitsspeicher wieder verfügbar zu machen, wenn der OOM Killer zugeschlagen hat. Der von heise vor anderthalb Jahren gemeldete Bitcoin Miner hat sich zur Tarnung denselben Namen gegeben, kann aber daran erkannt werden, dass er eben kein Kernel-Prozess ist. Wenn du den auf dem System hättest, würdest du zwei Prozesse mit dem Namen sehen, den legitimen mit PID < 1000 und den Miner mit PID > 1000.


    grep oom_reaper ist kein oom_reaper-Prozess, sondern ein grep-Prozess, der nach dem String "oom_reaper" sucht.