Pomoc Qlocker - atak na Qnapy

[dilbercik]

37 godzin wystawiony qnap w calosci na swiat i nadal cisza...

 

[Ice]

Masz go na jakimś starym qnapcloud czy nowy?

 

[dilbercik]

Masz go na jakimś starym qnapcloud czy nowy?

soft z jesieni. qnap iz uwalonym celeronem wczoraj przelutowany opornik i odpalony...

 

[Ice]

Interesujące.

 

[Kamil84]

Panowie podpowiedzcie co mogę jeszcze sprawdzić czy mam ten syf.
Malware remover nic nie wykrył (aktualny), w file station lupka nie znajduje nic z 7z. A komenda ps | grep 7z pokazuje proces 7z. Komenda do zrobienia logu z niego nic nie robi. Póki co zgrywam co mogę na HDD zewnętrznyw w razie w..
Dodam że w czwartek 22-go padł mi UPS i QNAP po 10-tej zdechłł, aktualizacje miałem wszystkie jakie były możliwe do tamtego czasu.

 

[VDR]

Panowie podpowiedzcie co mogę jeszcze sprawdzić czy mam ten syf.
Malware remover nic nie wykrył (aktualny), w file station lupka nie znajduje nic z 7z. A komenda ps | grep 7z pokazuje proces 7z. Komenda do zrobienia logu z niego nic nie robi. Póki co zgrywam co mogę na HDD zewnętrznyw w razie w..
Dodam że w czwartek 22-go padł mi UPS i QNAP po 10-tej zdechłł, aktualizacje miałem wszystkie jakie były możliwe do tamtego czasu.

Pewnie pokazuje proces grep a nie 7z
Spróbuj tak:
ps | grep 7z | grep -v grep

Wysłane z mojego Redmi Note 7 przy użyciu Tapatalka

 

[Kamil84]

Pewnie pokazuje proces grep a nie 7z

Ta komenda nic nie wypluła. Czy to by świadczyło o braku Qlockera ?

 

[Ice]

Tak, nie masz aktywnego procesu 7z

 

[Damian]

Ta komenda nic nie wypluła. Czy to by świadczyło o braku Qlockera ?

To znaczy, że proces 7z jest nieaktywny - nic nie szyfruje w tej chwili plików. Popatrz na wpisy w tym wątku, masz tam porady co zrobić, żeby być mniej podatny na atak.

Nie mam już pomysłu co qnapa boli

Zaloguj się po FAQ SSH i zobacz co zwraca komenda top - może będzie tam proces który przeciąża nasa.

 

[Ice]

A może po prostu masz coś namieszane z lanami? lag itp?

 

[Kamil84]

Tak, nie masz aktywnego procesu 7z

Git

Popatrz na wpisy w tym wątku,

Wątek śledzę i już wszystko porobione.

 

[Ice]

Więcej nie zrobisz, ale chyba najgorsze już za nami - teraz malware przynajmniej wie co ma robić.

 

[VDR]

Naprawdę przez ten atak obrzydzili mi chęć korzystania z Qnapa.

Tak. Codzienny monitoring wszystkich sieci gdzie są qnapy potrafi wkurzyć. Pomimo że mnie to nie dotknęło bo powybijalem usługobiorca wszelkie "niebezpieczne" ustawienia już lata temu to i tak poziom stresu jak z covidem. Stosujesz zasady higieny elektronicznej ale i tak nie czujesz komfortu bezpieczeństwa jak przed qlockerem.

Ale przeciez to nie pierwszy i .......nie ostatni raz.

Ponad milion dysków NAS firmy QNAP zagrożonych atakiem (aktualizacja) - Portal telekomunikacyjny Telix.pl

Zagłada w świecie QNAP-a. Podatność umożliwiająca uzyskanie dostępu root bez uwierzytelnienia. ~450 000 urządzeń dostępnych z Internetu podatnych

Trzeba robic backupy ważnych danych. NAS jest tylko i wyłącznie dyskiem twardym. Może trochę bardziej rozbudowanym ale nadal nic to nie zmienia w kontekście posiadania kopi nadmiarowej ważnych plików.

 

[accid]

Szczerze cała ta sytuacja sprawiła po przeczytaniu tego wątku nie spałem poł nocy. Rano pojechałem do klienta któremu instalowałem serwer QNAP najbezpieczniejszy na świecie gdzie mu żadne dane się nie zgubią, tak mu go sprzedałem. Miał powłączane wszystkie usługi o których mowa czyli myQNAPcloud, ddns itd. Posprawdzałem rano i nic nie znalazłem z opisanych symptomów Qlockera. Zaktualizowałem aplikacje do najnowszych wersji mam nadzieję że ominęło mnie to całe zamieszanie. Firewalla dopiero zainstalowałem nie było go wcześniej. Jedyne czego nie ma z wymienionych możliwości to wyłączony upnp na qnapie i router mikrotika dobrze skonfigurowany z wyłączonym oczywiście upnp.
Dla bezpieczeństwa wyłączyłem wszystko co łączy ze światem i ustawiłem firewalla tylko na siec lokalną bo tak naprawdę tylko korzystają z niego wewnątrz firmy, praca zdalna to VPN przez mikrotika i pulpit zdalny.

Mam przy okazji pytanie czy licencja do antywirusa jest opłacalna? Tzn czy ten antyvir qnapowy spełnia swoje zadanie? Czy szkoda tych 25$?

 

[Ice]

Masz do zainstalowania z qnapclub.eu (repo) CalmAV i jest ok.
Nie możesz mówić "serwer QNAP najbezpieczniejszy na świecie gdzie mu żadne dane się nie zgubią, tak mu go sprzedałem. Miał powłączane wszystkie usługi o których mowa czyli myQNAPcloud, ddns itd" bo to samo w sobie jest niedorzeczne. Na forum zaczynamy tłuc do głowy, że jak najmniej portów, DDNS itp. Ograniczona ilość portów do zera, zmienione ze standardowych. Nie wspominając o tym, że aktualizacja mimo wszystko to najważniejsza rzecz -> bez tego ani rusz. Nie miałeś klienta w Qcenter?

 

[Usunięty użytkownik pigers]

W sumie do helpdesku nie pisałem bo qnap odcięty jest od świata i poki co nie zamierzam podpinac go spowrotem dopóki nie będzie jakieś dobrej odpowiedzi od Qnapa czy firma żyje czy ogłasza upadłość i daje zwrot kasy

pisz wniosek - chcę się pośmiać !

 

[lolo]

Masz do zainstalowania z qnapclub.eu (repo) CalmAV i jest ok.

A czym się on różni od tego, który standardowo jest w QTS? Po co go instalować z repo, skoro on defaultowo jest w systemie?

 

[Usunięty użytkownik pigers]

na pewno jest świeższy Qnapclub Store: ClamAV
tylko pamiętaj że nie ma wsparcia dla niego

 

[accid]

Na forum zaczynamy tłuc do głowy, że jak najmniej portów, DDNS itp. Ograniczona ilość portów do zera, zmienione ze standardowych. Nie wspominając o tym, że aktualizacja mimo wszystko to najważniejsza rzecz -> bez tego ani rusz. Nie miałeś klienta w Qcenter?

Wszystkie porty mam zablokowane na mikrotiku nie mam upnp włączonego, jedyne co przepuszcza to openVPN. QNAP jest przeznaczony tylko i wyłącznie do pracy w sieci lokalnej do backupow oraz active directory. Żadnych multimediów usług z zewnątrz itd. jedyne co testowałem to Qsync jak działa. Te po włączane usługi to efekt testów po zakupie jak miałem qnapa w domu. Już z perspektywy czasu widzę że zrobiłem sporo błędów z tym QNAP'em, i będę musiał przysiąść i skonfigurować go do podstaw jeszcze raz.
Tak naprawdę zazwyczaj mam u klientów serwery z Windows serwer, NAS służy tylko do backupu zasobów serwera i komputerów tych które muszą szybko stawać na nogi po awarii. Ten klient był inny dlatego dostał QNAP'a bo wychodziło taniej dla jego potrzeb. Najwyraźniej muszę kupić sobie QNAP'a do domu i porządnie przetestować (teraz mam leciwego Zyxcela NSA320) bo widzę że ma duży potencjał.

 

[maxweber]

Przywróciłem ustawienia fabryczne.
Ale ta lżejsza opcja.
Mam wszystkie dane póki co.
Serwer żyje i to mnie cieszy.
Myślę że winny był qfirewall skubaniec którego póki co nie włączam bo serwer jest nadal odcięty od świata.