Pomoc Qlocker - atak na Qnapy

[VDR]

A sprawdzaliście w ogóle co ten "walter" robi w kodzie ?
Nie chciało mi się odpalać NASa - tam hbs3 mam chyba jeszcze niezaktualizowany ale moze przeledzicie co tam w pytonie ów Walter zdziałał - bo w sieci piszą, że gro wpisów jest #.

Ja osobiscie na ta chwilę HBS3 bym nie używał
Bezpieczniej by bylo rsync po tunelu FAQ SSH zrobic

 

[badziewiak]

Odnosiłem się do tego:

A czy Qnap może jakoś ukryć podpięty dysk USB tak jak robi to program do backupu wbudowany w Windowsa?

@badziewiak - ale do czego pijesz ? prawo WRITE only ?

@pigers chyba miałeś rację, coś musiałem pochrzanić. Jest tylko ptaszek:

 

[omlet]

Wczoraj wykonałem ponowną inicjację Qnapa po ataku Qlockerem.
Po wgraniu aktualnego systemu i postawieniu nowego woluminu i skanie Malware Remowerem takie oto kwiatki:

Czy znacie MR1702, MR1902?

 

[Usunięty użytkownik pigers]

1902 to pliki w HBS - aka walter
1702 - z tego co JA widze w definicji : phpmyadmin, upnp, webserver

 

[omlet]

Zabezpieczam się zatem zgodnie co jest tutaj:
Link: https://www.youtube.com/watch?v=jxtDT9jbDH8

W logu jest napisane, żeby zmienić hasło do maila?
Jak rozumiem to te dane mogły zostać wykradzione?

 

[Usunięty użytkownik pigers]

yy - jakim logu ? gdzie ?

 

[omlet]

Wkleiłem logi powyżej i tu fragment wyraźnie mówiący o aktualizacji haseł:

Czy zatem hasło mogło wyciec czy to tylko dmuchanie na zimne?

 

[Usunięty użytkownik pigers]

lepiej zmień , co ci szkodzi - ja używam osobnego konta mailowego dla celów spamowych , ups logów

 

[omlet]

Huh, wyłączyłem konto admina, zmieniłem domyślny port i po restarcie (wg zaleceń malware remowera) nie mogę się połączyć z NASem.
Qfinder nie widzi go w sieci. Czy może ktoś pomóc jak go szukać?

 

[Usunięty użytkownik pigers]

primo - zrób normalny restart NAS, przytrzymaj guzik zasilania przez 2-3 sek i poczekaj na piski

 

[omlet]

Dzięki @pigers - tak zrobię jak tylko dostanę się do fizycznego urządzenia.
Myślałem, że uda mi się zdalnie zrobić konfigurację NASa po ponownej inicjacji i łączyłem się przez pulpit zdalny do komputera w sieci.

 

[Diabel200]

No niestety i mnie dotknęło, ale nie aż tak strasznie.
Otóż mam zaszyfrowane dane, tylko w folderach standardowych takie jak:
homes
public
web
W żadnym innym nie, wiec w miarę spoko, miałem kilka plików w Public, ale co gorsze gdy zauważyłem komunikat o malware MR2102, oczywiście zaktualizowałem wszystkie aplikacje, system oraz zresetowałem Qnapa zgodnie z wytycznymi. Co za skutkowało że nie mogłem zrobić kroków z tego poradnika: What should I do when found nas is encrypting my files by 7z? aby uzyskać hasło.

Robiłem kilka skanów różnymi programami pokazuje mi dysk niby czysty, ale odraz zrobiłem kopię danych ważnych na dysk lokalny w PC.

Teraz pytanie do was co polecacie robić ponowna inicjalizacje nasa ? formatować dyski ? Nie ukrywam że mam cykora trzymając tam teraz dane.

Wg. mnie Qnap powinien wziąć na siebie odpowiedzialność za te luki. Bo większość ludzi kupuje właśnie Nasy myśląc że to jest bezpieczne, oraz powierzają im swoje zaufanie, nie tylko prywatnie ale i sporo firm działa na tym systemie. Przykład z samochodem 500 km nie jest tu odpowiedni, już prędzej że w nowych BMW potrafi dojść do samozapłonu. i Tu oczywiście są pociągani do odpowiedzialności.

 

[Damian]

Czekaj. Jeśli miałeś komunikat MR2102 przed restartem to może jest szansa, że masz hasło. Zaloguj się przez FAQ SSH do serwera i sprawdź czy w katalogu MR nie masz pliku 7z.log (czy jakoś tak).

 

[Usunięty użytkownik pigers]

Wg. mnie Qnap powinien wziąć na siebie odpowiedzialność za te luki.

Tak , ale jeśli miałeś najnowszy firmware i malware remover - w każdym innym wypadku - TY jesteś winien.

 

[Diabel200]

Czekaj. Jeśli miałeś komunikat MR2102 przed restartem to może jest szansa, że masz hasło. Zaloguj się przez FAQ SSH do serwera i sprawdź czy w katalogu MR nie masz pliku 7z.log (czy jakoś tak).

no mam:
Ale wygląda on tak:
/usr/local/sbin/7z.orig "x" "-so" "./data.tar.7z"
/proc/8726:/bin/sh
Uid: 0 0 0 0
/proc/8504:/bin/sh
Uid: 0 0 0 0
/proc/8503:/bin/sh
Uid: 0 0 0 0
/proc/8463:/bin/sh
Uid: 0 0 0 0
/proc/8462:/bin/sh
Uid: 0 0 0 0
/proc/8295:/usr/local/sbin/qpkgd
Uid: 0 0 0 0
/proc/7803:/usr/local/sbin/qpkgd
Uid: 0 0 0 0

 

[Usunięty użytkownik pigers]

Qinspector

hasła nie widać ..

 

[Diabel200]

Qinspector

hasła nie widać ..

zainstalowałem Qinspector, ale się nie uruchamia...


TS-x31
/usr/local/sbin/

czy coś z tym plikiem da rade zrobić ? Czy pozamiatane ?

 

[Usunięty użytkownik pigers]

pytaj QNAPa - masz aplikacje helpdesk w AppCenter
wg mojej wiedzy - to część procesu odzyskiwania hasła

 

[Damian]

Mi niestety nic więcej nie przychodzi do głowy. Wygląda na to, że hasło się nie zalogowało do pliku.

 

[Diabel200]

pytaj QNAPa - masz aplikacje helpdesk w AppCenter
wg mojej wiedzy - to część procesu odzyskiwania hasła

Wiem że mam, pisałem do nich to co mi odp ?
"
Dzień dobry, niestety w tym wypadku pozostaje inicjacja serwera.

Uprzednio można też wykonać kopie danych z serwera na inne urządzenie gdyż pliki powyżej 20mb nie powinny być zaszyfrowane.

W ostateczności pozostaje opłata okupu."
Czyli na wy..banku, podesłałem jeszcze im te pliki zobaczymy co odp...

Chwilę jeszcze zaczekam zobaczymy może coś podpowiedzą, a jeśli nie to co zalecacie inicjalizacje od nowa serwera + format dysków ?