Pomoc chyba zostalem zhackowany

[j4n3k]

Witam, chciałem was ostrzec. Jakoś niedawno zauważyłem że QNAP dość mocno się obciąża, procesor ma zużycie powiedzmy w granicach 80% dziś na mailu znalazłem dziwne maile kierowane do fwrite@live.ca wysyłane przez qnap o treści : array moj ip/wso.php oczywiście po kliknięciu linku wyświetlał się pełen dostęp do zasobów (każdego dysku) bez potrzeby autoryzacji... plik który to generował nazywał się wso.php i leżał sobie w katalogu web. Oczywiście qnap codziennie skanowany malware remover. Plik php nie do odczytania ponieważ zakodowany w fopo. Nie mam pomysłu skąd to się tam wzięło i z czym zainstalowało :/ pierwszy mail wysłany przez to dziadostwo mam z 25.12.2018 z godziny 00:30. Pozdrawiam i polecam sprawdzić qnapy.

ps.Jak ktoś będzie potrzebował więcej szczegółów oczywiście podeślę.

Wersja oprogramowania Firmware:Najnowszy
Model serwera: QNAP TS-453B

 

[Spooky]

Korzystasz z wbudowanego w Q serwera www? Wystawiasz go na świat?

 

[j4n3k]

Tak, i chyba znalazłem winnego, sql coś mi się wydaje że zbyt proste (słownikowe) hasło było :/

 

[Silas Mariusz]

Czyli nie zmieniłeś domyslnego hasła.

 

[j4n3k]

A no właśnie zmienione było na pewno :/ ale na jakieś raczej proste (żona ustawiała jak strone w WP stawiała)

 

[Spooky]

Można z dużym prawdopodobieństwem przyjąć, że to nie jest bezpośrednia wina SQLa, tylko WordPressa - polecam upgrade do najnowszej wersji samego WP oraz wszystkich wtyczek, motywów, itd. Oczywiście sugeruję przeskanować cały web pod kątem wso.php (sugestia z WSO Shell: The Hack Is Coming From Inside The House!).

Ktoś wykorzystał dziurę w WP i wstrzyknął Ci prawdopodobnie jedno z poniższych ...

• tennc/webshell
• mIcHyAmRaNe/wso-webshell

 

[Silas Mariusz]

A ja Wam powiem ze jakos nie dawno mialem odpalony serwer z domyslnym haslem SQL. W ogole nie uzywam SQL... patrze a tam proces MariaDB bierze mi 50-70% zasobow procka. Takze warto wylaczyc uslugi z ktorych nie korzystamy a zwlaszcza te w ktorych nie ustalilismy wlasnego hasla logowania.