QSnatch-haittaohjelma (QNAP-NAS)

Viestiketju alueella 'Internet, tietoturva ja muu tietoliikenne' , aloittaja iDriver, 31.10.2019.

NOSTOJA MUROPAKETIN SISÄLLÖSTÄ
  1. iDriver

    Rekisteröitynyt:
    11.12.2011
    Viestejä:
    12
    Sainpa operaattoriltani viestiä, että QNAPpini on "saastunut haittaohjelmalla ja siten päätynyt rikollisten etähallintaan".

    Kyberturvallisuuskeskuksen mukaan: "Haittaohjelma hakee generoimalla muodostuvista DNS-osoitteista lisää haitallista koodia. Kutsumuoto on 'HTTP GET https://<generoitu osoite>/qnap_firmware.xml?t=<aikaleima>', ja tästä kutsusta pystyy erittäin vahvasti tunnistamaan saastuneen laitteen."

    Päivitin QNAPin valmistajan ohjeiden mukaan, vaihdoin salasanat, lisäsin IP-blokkauksia, yms. yms.
    Kertokaapa, kuinka pystyn itse tarkistamaan, lähtikö vihulainen purkista pois, vai vieläkö se jatkaa siellä touhujaan?
     
  2. endl

    Rekisteröitynyt:
    29.10.2012
    Viestejä:
    46
    Kappas, hyvä että sattui Muropaketin etusivulta hyppään topic silmille. Olin ite unohtanu täysin et tollanen pyörii nurkassa, pitänee päivittää se :D

    Ihan hirveästi noi Kyberturvallisuuskeskuksen tai QNAPin artikkelit ei tota tosiaan avanneet. Tosta päivityksestäkin tosiaan mainitaan että ei voi olla varma, lähteekö haittaohjelma noilla keinoilla. Pitää varmaan olla next level velho et saa ton selville o.0. Kai siihen QNAPin käyttikseenkin pääsee jotenkin ssh:lla tms. kiinni. Pitää mennä katteleen miltä sielä näyttää.

    Oma laite on onneks kyllä varmaan sisäverkossa, et jos sinne on jotenkin päästy niin sit varmaan on jossain muuallakin reikä.
     
  3. Desgorr

    Rekisteröitynyt:
    11.10.2010
    Viestejä:
    3 146
    Juurikin haittaohjelmia välttääkseen NAS:ia ei koskaan kannata laittaa näkymään Internettiin päin julkisella IP:llä. Tuolla kun kerjää vain ongelmia. Qnapeissakin ollut läjä haavoittuvuuksia. Toki noita pikaiseen kyllä paikkailevat, mutta jos softapäivityksiä ei harrasta, niin paikkauksista ei ole juurikaan apua.

    Itse olen sen verran vainoharhainen, että vetäisisin varmaan käyttiksen kokonaan Qnapin imagella uusiksi.
    https://wiki.qnap.com/wiki/Firmware_Recovery

    Samoin jyräisin levyt ja palauttelisin backupeista tiedostot. Levyillä on meinaan myös Qnapin ohjelmistoon liittyviä tiedostoja, kaikki ei ole laitteen omassa flash-muistissa.

    Qnapin tiedotteesta:
    Warning: If your NAS device is already infected, updating QTS and all NAS applications may not completely remove the malware. QNAP is currently working on a removal solution and will update this advisory once it is publicly available.
     
    Viimeksi muokattu: 31.10.2019
  4. iDriver

    Rekisteröitynyt:
    11.12.2011
    Viestejä:
    12
    Yöllä kolusin tiedostoja läpi ihan ruohonjuuritasolla. Pari epäilyttävää asiaa pisti silmään. Toinen oli muutokset /etc/config/crontab -tiedostossa. Siellä oli pari riviä lisää, joita en ole ennen nähnyt:

    0 * * * * /share/HDA_DATA/.YSgSnAhmjiKFmzq/Bowhivfw.sh >/dev/null 2>&1
    0 7 * * * /mnt/HDA_ROOT/.config/license/.lc/act.sh >/dev/null 2>&1
    Sitä en osaa sanoa, liittyvätkö mitenkään tuohon QSnatchiin. Esim. noista ensimmäinen viittasi ihan tyhjään tiedostoon.

    Toinen epäilyttävä asia oli se, että /etc/config/ipsec_allow.conf -tiedostossa oli pitkä lista ulkomaisia IP-osoitteita. Onni onnettomuudessa on se, että olen käyttänyt asetuksissani deny-listaa, jolloin tuohon em. mainittuun tiedostoon lisätyillä IP-osoitteilla ei ole ollut mitään vaikutusta laitteelle pääsyyn.

    Nukuttu yö auttaa usein ongelmien ratkaisussa. Aamulla sisäinen "next level velhoni" heräsi ja keksin asettaa QNapin verkkoliikenteen kulkemaan toisessa koneessa olevan proxy-palvelimen kautta. :)
    Nyt jännityksellä odotan, tarttuuko palvelimen lokeihin mitään epäilyttävää verkkoliikennettä.
     
  5. iDriver

    Rekisteröitynyt:
    11.12.2011
    Viestejä:
    12
    Tämähän se ongelma olikin. Kyseinen haittaohjelma esti päivitysten tarkistuksen, ts. päivityksiä ei mukamas ollut tarjolla, niin päivitykset jäivät tekemättä. Muuten pidän kyllä laitteeni päivitettyinä – varsinkin ne, jotka ovat tavalla tai toisella verkossa.
     
  6. iDriver

    Rekisteröitynyt:
    11.12.2011
    Viestejä:
    12
  7. Pete Laasonen

    Rekisteröitynyt:
    09.01.2015
    Viestejä:
    2
    Mulle tuli Elisalta tekstiviesti että liittymäni on suljettu ja avaaminen maksaa 100,00 € lisätietoja Omagurulta tai Elisan abuse linkistä..
    Olin päivittänyt tuon verkkolevyn ohjeiden mukaisesti 3 päivää sitten.

    Soitin OmaGuru "palveluun" ja kyselin asiasta.
    Minulla oli kuulemma salasana vielä vaihtamatta... mistä v..ta ne sen tietää?
    Mulla paloi hihat samantien...
    Karjuin luuriin että se liittymä auki välittömästi ja tämä guru siellä totesi että se liittymä ei ole suljettu ja sannoi että tuo Zyxel LTE3301 pitäis vaihtaa koska se voi olla kaapattu..

    OmaGurulla taitaa olla rahat loppu tai oma rahankeräyskampanja menossa?
     
    asentaja tykkää tästä.

Jaa tämä sivu

Alibi
Anna
Deko
Dome
Erä
Hymy
Kaksplus
Kippari
Kotilääkäri
Kotiliesi
Koululainen
Ruoka.fi
Parnasso
Seura
Suomen Kuvalehti
TM Rakennusmaailma
Tekniikan Maailma
Vauhdin Maailma
Golfpiste
Vene
Nettiauto
Ampparit
Plaza
Muropaketti