Pomoc Deadbolt - na QTS z 2.09.22r - coś da radę zrobić?

dayus · 4 Wrzesień 2022

Deadbolt na TS-253D na najnowszym QTS z 2.09.2022 r. (teraz na szybko nie umiem sprawdzić, która wersja, ale sprzed 2dni)
Dzisiaj wchodzę i wszystkie pliki zaszyfrowane. Panowie jakaś rada? Mam kopie fizyczna na dysku USB, sprzed pol roku. Jak dla mnie spoko opcja, ale może bez tego da się coś zrobić?
Dziwie się, ze po najnowszej aktualizacji się to stało

Silas Mariusz · 4 Wrzesień 2022

Napisz na helpdesk, podaj mi ticket ID. Wezmę sprawę.

dayus · 4 Wrzesień 2022

Q-202209-57602 . Dziwi mnie,ze update FW robiłem 2.09.2022 r. A Qfinder Pro pokazuje mi oprogramowanie z 15.08.2022 - nowszego już nie było na tą chwile, wydaję mi się,że były nowsze.

Usunięty użytkownik pigers · 4 Wrzesień 2022

patrzę na te screeny - ransomware as service :O

dayus · 4 Wrzesień 2022

To najlepsze. @h temu dodali informacje, a pewnie seria ataków była wczoraj w nocy.

Tlobo · 8 Wrzesień 2022

i co dało się coś, też mam to g**no i leżę :-(

Silas Mariusz · 8 Wrzesień 2022

dayus napisał:
Q-202209-57602 . Dziwi mnie,ze update FW robiłem 2.09.2022 r. A Qfinder Pro pokazuje mi oprogramowanie z 15.08.2022 - nowszego już nie było na tą chwile, wydaję mi się,że były nowsze.

No, ale nie aktywowałeś zdalnego wsparcia dla tego zgłoszenia. Ponad 12% deadboltów uzyskuje klucz. Natomiast jeśli zwlekałeś do teraz to może być kłopot.

Tlobo napisał:
i co dało się coś, też mam to g**no i leżę :-(

12% da się uzyskać klucz do szyfrowania.

Panowie Jak to zrobić? - QuFirewall - Jak zabezpieczyć serwer przed atakami a jednocześnie komfortowo z niego korzystać? Wersja dla regionu: Polska | QNAP Polska - Oficjalne forum wsparcia technicznego QNAP Club

ATAK? Zabezpiecz NAS! - YouTube

Wystarczy, że skorzystacie z poradnika dot. QuFirewall. Nie widziałem, ani jednej osoby, która była zaatakowana przy użyciu tego.

Tlobo · 9 Wrzesień 2022

Silas Mariusz napisał:
No, ale nie aktywowałeś zdalnego wsparcia dla tego zgłoszenia. Ponad 12% deadboltów uzyskuje klucz. Natomiast jeśli zwlekałeś do teraz to może być kłopot.

12% da się uzyskać klucz do szyfrowania.

Panowie Jak to zrobić? - QuFirewall - Jak zabezpieczyć serwer przed atakami a jednocześnie komfortowo z niego korzystać? Wersja dla regionu: Polska | QNAP Polska - Oficjalne forum wsparcia technicznego QNAP Club

ATAK? Zabezpiecz NAS! - YouTube

Wystarczy, że skorzystacie z poradnika dot. QuFirewall. Nie widziałem, ani jednej osoby, która była zaatakowana przy użyciu tego.

Możesz mi coś więcej na ten temat napisać.
Gdzie można się zgłosić, aby spróbować uzyskać klucz do szyfrowania?
Czytałem, że jest tak dużo kombinacji, że praktycznie to niemożliwe, ale dajesz mi nadzieję

Druga sprawa, to czy jak zrobiłem skanowanie Malware Remover, zaktualizowałem system oraz aplikacje, to czy jeszcze mam coś zrobić, jakieś skanowanie zewnętrznym programem?
Nadal po wylogowaniu wyskakuje mi okno z żądaniem okupu, czyli rozumiem, że to gdzieś tam siedzi?

Silas Mariusz · 9 Wrzesień 2022

Jak to zrobić? - Jak zgłosić problem na Helpdesk do QNAP? / Kontakt z pomocą techniczną QNAP | QNAP Polska - Oficjalne forum wsparcia technicznego QNAP Club
i napisz mi ticket ID jak już zrobisz zgłoszenie. Przejmę sprawę.

Tlobo · 9 Wrzesień 2022

Silas Mariusz napisał:
Jak to zrobić? - Jak zgłosić problem na Helpdesk do QNAP? / Kontakt z pomocą techniczną QNAP | QNAP Polska - Oficjalne forum wsparcia technicznego QNAP Club
i napisz mi ticket ID jak już zrobisz zgłoszenie. Przejmę sprawę.

kurcze, nie mogę zrobić zgłoszenia, zainstalowałem helpdesk i jak próbuje się zainstalować przez Qnap ID wyskakuje komunikat internal server error.
Możesz jakoś pomóc?

Usunięty użytkownik pigers · 9 Wrzesień 2022

zrób zgłoszenie przez stronę WWW Portal serwisowy - QNAP

Tlobo · 9 Wrzesień 2022

pigers napisał:
zrób zgłoszenie przez stronę WWW Portal serwisowy - QNAP

Mam, udało się.
[QNAP Support] New Ticket Confirmation Q-202209-61389

eadbolt
Dostałem też od razu maila, żebym komuś udostępnił "Remote Support"
To pewnie nie Ty, bo to świeży temat?

Silas Mariusz · 9 Wrzesień 2022

Remote Helpdesk Status: Wait for Activate

Nie aktywowałeś zdalnego wsparcia.
Niestety ticket wleciał bezpośrednio do działu "szybkiego reagowania".

Nie skomentuje tego: Web Access Port = 8080 i Twojego firewalla. No nic, musisz czekać.

Tlobo · 12 Wrzesień 2022

Silas Mariusz napisał:
Remote Helpdesk Status: Wait for Activate

Nie aktywowałeś zdalnego wsparcia.
Niestety ticket wleciał bezpośrednio do działu "szybkiego reagowania".

Nie skomentuje tego: Web Access Port = 8080 i Twojego firewalla. No nic, musisz czekać.

Dzięki
Trochę, a nawet bardzo się nie orientuję.
Wszystko ustawiał mi kolega, który namówił mnie na NASa i dotąd praktycznie się tym nie zajmowałem.
Teraz wiem, że to był błąd. Niestety najlepiej uczymy się na własnych błędach :-(
Z tego co wiem, to jedynym sposobem, przynajmniej obecnie, jest wejście przez open vpn.
Skoro piszesz, że czegoś nie skomentujesz, to rozumiem, że tak nie jest???

Silas Mariusz · 26 Wrzesień 2022

Silas Mariusz napisał:
Web Access Port = 8080

Miales wszystko ustawione domyslnie i serwer wystawiony na zewnątrz.
Serwer był atakowany od samego początku. Logi zaczynają się od

Log start napisał:
============= [ EVENT LOG ]
log_tool -qv

Query database...
event_id,event_type,event_date,event_time,event_user,event_ip,event_comp,event_desc,event_msgid,event_timet,event_app_id,event_app_name,event_category_id,event_category,
242870, 1,2022-06-06,20:50:41,System,127.0.0.1,---,[Security] Added IP address "61.177.172.114" to IP block list. Duration: for 5 minutes., 2,1654541441,A004,Security,C001,Security Level,
242871, 1,2022-06-06,20:53:50,System,127.0.0.1,---,[Security] Added IP address "61.177.172.124" to IP block list. Duration: for 5 minutes., 2,1654541630,A004,Security,C001,Security Level,

do:

Logs end napisał:
342828, 2,2022-09-08,19:29:22,admin,193.92.137.128,---,[Users] Failed to log in via user account "admin". Source IP address: 193.92.137.128., 26,1662658162,A015,Users,C002,Login,
342829, 2,2022-09-08,19:30:08,admin,119.246.71.125,---,[Users] Failed to log in via user account "admin". Source IP address: 119.246.71.125., 26,1662658208,A015,Users,C002,Login,
342830, 2,2022-09-08,19:31:13,admin,172.84.160.36,---,[Users] Failed to log in via user account "admin". Source IP address: 172.84.160.36., 26,1662658273,A015,Users,C002,Login,
342831, 2,2022-09-08,19:31:27,admin,175.28.204.248,---,[Users] Failed to log in via user account "admin". Source IP address: 175.28.204.248., 26,1662658287,A015,Users,C002,Login,
342832, 2,2022-09-08,19:32:17,admin,130.93.55.107,---,[Users] Failed to log in via user account "admin". Source IP address: 130.93.55.107., 26,1662658337,A015,Users,C002,Login,
342833, 2,2022-09-08,19:32:44,admin,212.96.8.125,---,[Users] Failed to log in via user account "admin". Source IP address: 212.96.8.125., 26,1662658364,A015,Users,C002,Login,
342834, 2,2022-09-08,19:33:33,admin,98.33.109.220,---,[Users] Failed to log in via user account "admin". Source IP address: 98.33.109.220., 26,1662658413,A015,Users,C002,Login,
342835, 2,2022-09-08,19:33:34,admin,203.186.184.138,---,[Users] Failed to log in via user account "admin". Source IP address: 203.186.184.138., 26,1662658414,A015,Users,C002,Login,
342836, 2,2022-09-08,19:34:10,admin,183.96.168.159,---,[Users] Failed to log in via user account "admin". Source IP address: 183.96.168.159., 26,1662658450,A015,Users,C002,Login,
342837, 2,2022-09-08,19:35:26,admin,58.215.219.154,---,[Users] Failed to log in via user account "admin". Source IP address: 58.215.219.154., 26,1662658526,A015,Users,C002,Login,
342838, 2,2022-09-08,19:35:49,admin,220.126.128.132,---,[Users] Failed to log in via user account "admin". Source IP address: 220.126.128.132., 26,1662658549,A015,Users,C002,Login,
342839, 2,2022-09-08,19:36:06,admin,81.226.228.127,---,[Users] Failed to log in via user account "admin". Source IP address: 81.226.228.127., 26,1662658566,A015,Users,C002,Login,
342840, 2,2022-09-08,19:36:46,admin,70.80.85.198,---,[Users] Failed to log in via user account "admin". Source IP address: 70.80.85.198., 26,1662658606,A015,Users,C002,Login,
342841, 2,2022-09-08,19:37:29,admin,125.129.229.230,---,[Users] Failed to log in via user account "admin". Source IP address: 125.129.229.230., 26,1662658649,A015,Users,C002,Login,
342842, 2,2022-09-08,19:38:07,admin,185.49.169.162,---,[Users] Failed to log in via user account "admin". Source IP address: 185.49.169.162., 26,1662658687,A015,Users,C002,Login,

Generalnie to się musiało źle skończyć. Na forum w dziale Wiki masz tutorial jak uruchomić Qbelta.
Masz też tutorial jak skonfigurować QuFirewall.

Przykro mi. To powinna być przestroga dla wszystkich co czytają. Jeśli takie coś ma miejsce w logach, tzn. że serwer jest atakowany.

Szukaj

Pomoc Deadbolt - na QTS z 2.09.22r - coś da radę zrobić?

dayus

Entry Technician

Silas Mariusz

rm -rf /

dayus

Entry Technician

Załączniki

Usunięty użytkownik pigers

Guest

dayus

Entry Technician

Załączniki

Tlobo

Nowy użytkownik

Silas Mariusz

rm -rf /

Tlobo

Nowy użytkownik

Silas Mariusz

rm -rf /

Tlobo

Nowy użytkownik

Usunięty użytkownik pigers

Guest

Tlobo

Nowy użytkownik

Silas Mariusz

rm -rf /

Tlobo

Nowy użytkownik

Silas Mariusz

rm -rf /

Użytkownicy znaleźli tą stronę używając tych słów: