突然、NAS の音が通常より大きくなりましたか?私の場合は数週間前にそれを行いましたが、それはすべて暗号通貨マイナーによってハッキングされたためです。したがって、通常はそうではないのに、NAS サーバーのファンが邪魔になっている場合は、危険にさらされている可能性があります。
ワークロード (したがってノイズ) は通常、簡単に予測および制御できます。
私は通常、サーバーの騒音がいつ発生し、いつ静かになるかを知っています。
ラックマウント サーバーはうるさくて不快だと思うかもしれませんが、それは間違いではありません。ただし、ほとんどの場合、ラックマウント サーバーであっても静かな場合があります。現在、オフィスで 3 台の NAS サーバーを実行しています。確かに、多少のホワイト ノイズはありますが、それほど多くはありません。
ほとんどの NAS サーバーは、負荷が高くなっていないときは比較的静かです。ファイルを保存したりメディアを正式にストリーミングしたりするためだけに NAS を使用している場合、特に冬にはファンが回転しない可能性があります。
NAS にノイズが発生し始めるのは、ストレスの多い負荷がかかったときです。これには、メディアのトランスコーディング、多数のサービスの実行、バックグラウンドでの多数のファイル変換や AI ワークロードの処理などが考えられます。ただし、通常の使用では、ほとんどの NAS システムはかなり静かです。
NAS は静かであることが多いですが、その騒音は多くの場合かなり予測可能です。たとえば、私の大きなラックマウント サーバーは、最近はほとんど常に静かです。以前 Plex を直接実行していたとき、部屋が暖かく、一度にいくつかのトランスコードを実行していると、時折スピンアップする音が聞こえました。
もう 1 つ、サーバーのファンの盛り上がりが期待できたのは、私がホストしている Minecraft サーバーで一度に多くのプレイヤーがオンラインになったときです。あるいは、大量のデータ処理が行われ、サーバー上で重い AI ワークロードを実行していた場合です。
最近では、サービスを複数のマシンに分散させているため、特に冷却を助けるためにオフィスに窓用 AC ユニットを追加してからは、サーバーのほとんどが非常に静かになっています。今では大声で騒ぐことはめったにありませんが、ラックマウント サーバーがジェット エンジンに変わると、予期していなかったので頭の中で警報が鳴り響きました。心の警報が鳴ったのは良かったと思っています。
原因不明のワークロードはハッキングによって引き起こされる可能性がある
予期せぬファンのスピンアップにより、サーバーがハッキングされていることがわかりました
私はオフィスのデスクに座って記事を書いていたのですが、ラックマウント サーバーがどんどん回転し始め、内部のファンが 100% で動作するまで回転が上がり始めました。最後にそのようなことが起こったと聞いてからしばらく経っていましたが、私はまったく期待していませんでした。
そこで、私は突然作業をやめて、サーバーを見始めました。最初は単なる不具合かもしれないと思いましたが、サーバーの Web UI にログインして CPU が 100% に固定されているのを見て心配になりました。現時点では、このサーバーはファイル転送の処理にのみ使用しており、すべてのサービスは他のシステムで実行されています。
すぐにターミナルにアクセスしたところ、auto.c3pool.org に属さないプロセスが実行されていることがわかりました。
簡単に調べたところ、私の CPU を人質に取っていたのは仮想通貨マイニング ボットネットであることがわかりました。それが分かったのは、CPU 使用率が 100% になったため、サーバーのファンが 100% になったからです。その瞬間、サーバーがうるさかったのでとてもうれしかったです。
NAS がハッキングされた場合の対処方法
ステップ 1: パニックにならないでください
何が起こっているのかを理解した後、私は脅威を軽減する作業に取り掛かりました。まず、実行されているサービスを見つけることから始めました ps aux | grep ctrnd、それが実行されていたコマンドだったためです。その情報を入手してから、私は次のことを使用しました。 pkill ctrnd マイナーの実行中のインスタンスを強制終了します。
同様の問題に直面している場合は、同様のアプローチを取ることをお勧めします。上のスクリーンショットでわかるように、ctrnd が原因で CPU 使用率が 100% に急増しました。暗号化ボットネットに感染している場合は、まったく異なるプロセス名になる可能性があります。まずはプロセスを見つけて強制終了します。
仮想通貨マイナーが死亡した後、私はそれがどこから侵入したのかを調査し始めました。私のシステムでは、リバース プロキシの背後で利用できる qBittorrent クライアント (Web ログインとfail2ban が有効になっている) を介してネットワークに侵入することになりました。一般的な仮想通貨マイナーをブロックするためにファイアウォールと Pi ホールを更新するなど、ボットネットを体系的に完全に削除するのに約 90 分かかりました。
実際には、系統立ててハッキングの発信元を特定し、アクセスをブロックして、穴を塞ぐ必要があります。私の場合、基本的に qBittorrent を再デプロイし、qBittorrent.conf ファイルを更新する必要がありました。構成ファイルは、自動再デプロイがプログラムされた場所です。
基本的に、起動時に qBittorrent Docker コンテナが実行可能ファイルを再実行し、マイナーを再度スピンアップするため、削除が困難になります。最終的にはすべて洗い流すことができましたが、すべてが修復されるまでに開始から終了まで約 90 分かかりました。
7/10
- CPU
-
8コア
- メモリ
-
4GB LPDDR4X RAM
このユニファイド ストレージ ハブは、最大 60TB の大容量をサポートします。月額料金が定期的に発生するクラウド ストレージとは異なり、UGREEN NAS エンクロージャは長期使用のために一度購入するだけで済みます。高性能プロセッサー、1GbE ポート、4GB LPDDR4X RAM を搭載したこの NAS は、複数のタスクを簡単に処理します。
サーバーがハッキングされても世界の終わりではなく、それは警鐘です
私はいつも、自分のホームラボがハッキングされなかったことが、つまりハッキングされるまではすごいことだと思っていました。正直に言うと、私はホームラボのセキュリティについて必要以上に緩めでした。なぜなら、「そんなことは私には起こったことないし、おそらく起こらないだろう」からです。
しかし、実際にそれが起こった後は、あるべき場所を通過してセキュリティを強化しました。いくつかのリバース プロキシをオフにし、ホームラボのパスワードを変更し、さらにいくつかの必要な穴を塞いだことを確認しました。
結局のところ、サーバーが侵害されたからといって私のホームラボの世界が終わったわけではなく、修復が必要ないくつかの問題に目が開かれただけです。さて、私の間違いから学んで、悪用される前にホームラボの穴を塞いでほしいと思います。