Instruktaż/Tutorial Muhstik botnet?

[zsolarewicz]

Czesc-i-czolem,

pracujac na 253A dzis zauwazylem,ze do plikow psd, pdf doczepilo mi rozszerzenie '.muhstik'
plus klopoty z otworzeniem zamapowanych dyskow z kilku kompow w domu.
Czy to infekcja routera/ów czy NASa? /cos pisza ,ze zaraza kod PHP.../-sorki, jesli bredze.

Czy ktos pomoze i nakieruje czy/jak wywalic tego botneta/?/ ?...

Z gory wielkie dzieki !

 

[Usunięty użytkownik pigers]

masz coś na wordpressie/joomli ?
odciąć nasa od sieci i robić zgłoszenie do qnap
malware remove do akcji !

 

[zsolarewicz]

masz coś na wordpressie/joomli ?
odciąć nasa od sieci i robić zgłoszenie do qnap
malware remove do akcji !

Po uruchomieniu MALWARE REMOVER:

Błąd
Strona nieodnaleziona lub serwer jest obecnie niedostępny. Skontaktuj się z administratorem witryny, aby uzyskać pomoc.

 

[_Floyd]

To już kolejny przypadek? Czyżby Qnap znów padł ofiarą szkodnika.

 

[dassystem]

Potwierdzam.
Dwa dobrze zabezpieczone TS-251, soft 4.4.1.1064 (20190918), powyłączane SSL-e, telnet, weryfikacja dwuetapowa itp, mocne hasło, powłączane malware removery - i tak wszystko załatwione przez .muhstik
QNAP, coś Wam chyba nie wyszło ? Co z tym syfem zrobić ? To nie zdjęcia z wakacji tylko ważne pliki....

 

[_Floyd]

W sumie to po to Qnap robił szkolenia by robić mirrory swoich plików. A wiec szkolenia nie były bez przyczyny.

Koniec OffTop.

 

[grzenio]

W sumie to po to Qnap robił szkolenia by robić mirrory swoich plików. A wiec szkolenia nie były bez przyczyny.

Koniec OffTop.

Chyba backup to podstawa....
Myślę że wiesz na jakie dwie kategorie ludzie się dzielą

 

[Mxer]

W sumie to po to Qnap robił szkolenia by robić mirrory swoich plików. A wiec szkolenia nie były bez przyczyny.

Koniec OffTop.

Chyba backup to podstawa....
Myślę że wiesz na jakie dwie kategorie ludzie się dzielą

Na tych co robią backupy i na tych co zaczną je robić ?

Też padłem ofiarą tego zajścia wczoraj...

 

[grzenio]

W sumie to po to Qnap robił szkolenia by robić mirrory swoich plików. A wiec szkolenia nie były bez przyczyny.

Koniec OffTop.

Chyba backup to podstawa....
Myślę że wiesz na jakie dwie kategorie ludzie się dzielą

Na tych co robią backupy i na tych co zaczną je robić ?

Też padłem ofiarą tego zajścia wczoraj...

I dlatego robię backup w 3 lokalizacje. HBS3 do tego się idealnie nadaje

 

[dassystem]

Idąc tym tokiem myślenia po co mi NAS.
BTW: Jaka szkoda że migawki nie działają na starych Qnapach które nie były zrobione po nowemu od zera.

 

[grzenio]

Idąc tym tokiem myślenia po co mi NAS.
BTW: Jaka szkoda że migawki nie działają na starych Qnapach które nie były zrobione po nowemu od zera.

Ale NAS to serwer. Migawka jest lokalna wiec to też nie kopia zapasowa, ta winna być wykonywana poza NAS

 

[_Floyd]

Idąc tym tokiem myślenia po co mi NAS.
BTW: Jaka szkoda że migawki nie działają na starych Qnapach które nie były zrobione po nowemu od zera.

Żadna szkoda, myślę że tutaj nikt ich nie korzysta =P.

 

[dassystem]

Tak, najlepiej na trwałym nośniku w bunkrze atomowym.
Wtedy wszyscy użytkownicy QNAP-ów, podobnie jak specjaliści od ich zabezpieczeń i szukania w nich dziur mogliby spać spokojnie.

 

[grzenio]

Idąc tym tokiem myślenia po co mi NAS.
BTW: Jaka szkoda że migawki nie działają na starych Qnapach które nie były zrobione po nowemu od zera.

Żadna szkoda, myślę że tutaj nikt ich nie korzysta =P.

Ja osobiscie nie stosuje migawek ale kopię na innego QNAP mam oraz do chmury Aruba i azure obecnie

 

[Mxer]

nie jest aż tak tragicznie z tym lockerem, znaczy jest bo szyfruje, ale nie dotknął rawów, tifów, fitów.... więc osoby przechowujące oryginalny materiał a nie jpg mogą się cieszyć.

Zahaszował za to .exe, .pdf, .zip, .avi, .mp4 - czyli działa wybiórczo a nie na wszystko. Część zbiorów ocalała.

 

[zsolarewicz]

tez mam idrive i backblaze no ale to jednak troche slabo,ze tak latwo uwalic linuxowy serwer...,teraz kwestia jak to postawic na czysto od nowa.z pendrive chyba?

 

[queba]

u mnie RAWy zaszyfrowane. To chyba chwila i będziesz miał to samo. Co robić Panie i Panowie.

 

[Mxer]

u mnie RAWy zaszyfrowane. To chyba chwila i będziesz miał to samo. Co robić Panie i Panowie.

Mi wczoraj przysyłał alerty że rozłączył kartę sieciową, przyszło ich w ciągu 5godzin 1099sztuk.

Ja wyłączyłem maszynę na tą chwile.... poczekam aż sytuacja się rozwinie. Screeny i logi wysłałem do supportu.

 

[zsolarewicz]

jeszcze PSD i Doc trafilo...

Qnap, help us pls...


ps. jakie macie wersje systemu?
czy byl wordpress, webdav?

 

[grzenio]

Czesc-i-czolem,

pracujac na 253A dzis zauwazylem,ze do plikow psd, pdf doczepilo mi rozszerzenie '.muhstik'
plus klopoty z otworzeniem zamapowanych dyskow z kilku kompow w domu.
Czy to infekcja routera/ów czy NASa? /cos pisza ,ze zaraza kod PHP.../-sorki, jesli bredze.

Czy ktos pomoze i nakieruje czy/jak wywalic tego botneta/?/ ?...

Z gory wielkie dzieki !

A nie miałeś wlasnie jakiejś strony www na serwerze?

The Muhstik botnet exploits Drupal vulnerability (CVE-2018-7600), impacting versions 6,7, and 8 of Drupal’s CMS platform. “This potentially allows attackers to exploit multiple attack vectors on a Drupal site, which could result in the site being completely compromised,” warned MITRE’s Common Vulnerabilities and Exposures bulletin on March 28.