大家注意下自己的群暉NAS有沒有被侵入（駭客居然用群暉那些arm處理器挖礦……）(轉) (第6頁)

piligo

piligo
個人積分：184分
文章編號：48921305

184分

51樓

2014-03-02 11:33

請教為何補個漏洞需要整個大改版

每次Synology要修正一些問題，都要等大改版一起修正，如果是非重大資安或重大bug是沒差

可是像這個案例，已經算重大事件了，為何不能出個修正程式直接修補

每次更新都來個上百MB的更新檔

amigoccs

amigoccs
個人積分：57分
文章編號：48926641

57分

52樓

2014-03-02 18:57

Dear piligo,

> 請教為何補個漏洞需要整個大改版

因為要寫入韌體，或許他們的技術還不能只更新寫入特定幾個位元組。而且還要剛好長度相同，蠻困難的。

Best regards,

Amigo

我的部落格：http://amigotechnotes.wordpress.com

amigoccs

amigoccs
個人積分：57分
文章編號：48926667

57分

53樓

2014-03-02 19:00

Dear all,

我已經將網友提供的 Bitcoin 程式順利安裝在Synology DS-214SE 執行

測試期間，CPU 使用率最高 70.9%，RAM 大約需要 66%

目前還在取得授權才能分享給大家！

Best regards,

Amigo

我的部落格：http://amigotechnotes.wordpress.com

pctine

pctine
個人積分：5084分
文章編號：48932212

5084分

54樓

2014-03-03 3:16

amigoccs wrote:
因為要寫入韌體，或許他們的技術還不能只更新寫入特定幾個位元組。而且還要剛好長度相同，蠻困難的。...(恕刪)

DS NAS 絕大部份 firmware 的部份應該都只是類似 loader 而已, 並不是像 BIOS 一般, 真正的系統主要還是放在硬碟上面, 出 patch 程式並不難, 而且原廠實際上之前也不斷推出 patch 程式, 只是它有時是似類以套件安裝的方式為之, 或是有時在軟體版本上面出現所謂的 update1, update2..., 更新的也只是有修正過程式部份, 並非如網友所言每次都封裝成上百 MB 的大檔.

FB: Pctine

uglycat

uglycat
個人積分：623分
文章編號：49131771

623分

55樓

2014-03-14 23:06

由於系統更新到 DSM 4.3最新版後，CPU使用率下降到看來正常的低量，因此持續用了一段時間。但後來發現，原來會會進入休眠，後來卻不會了。所以總覺得好像幽靈潛伏在 DSM裡。

因此，後來決定重新安裝 DSM 4.3。

安裝時發現 Synology assistant 顯示那個安裝磁區毀損，大概是因重新安裝之故吧？

重新安裝後，發現資料都在，但原來安裝的套件都不見了。備份設定也不見了。想再重新設定備份，卻也無法存到原來的資料夾裡了。

唯一獲得的好處，是 DS 又重新可以休眠了。但代價是所有套件與設定都得重來一次。這樣真的正確嗎？

重新安裝 DSM 為何不能保留套件與諸多設定呢？(唉！就像 PC重灌 OS後，軟體也得重新安裝)。那麼，若備份時所有資料夾都備份，換新硬碟來還原時，所有資料與套件與系統設定，是否能全部還原回來？

JYHuang

JYHuang
個人積分：38分
文章編號：51473405

38分

56樓

2014-08-05 23:16

amigoccs wrote:
可以挖礦，代表有執行權限，下次就可以加密所有檔案，付費取得密碼。

果然被amigocss猜中了…

這次SynoLocker的事件

amigoccs

amigoccs
個人積分：57分
文章編號：51482881

57分

57樓

2014-08-06 14:04

Dear JYHuang,

>> 可以挖礦，代表有執行權限，下次就可以加密所有檔案，付費取得密碼。
> 果然被amigocss猜中了…
> 這次SynoLocker的事件

您真有心，還找到我2014/2/14 22:11PM 的發言紀錄。

或許是我曾經負責過資安產品，對於這類事件會特別警覺，只是沒有想到當時的推論，竟然在 6 個月內就有人利用同樣漏洞，執行勒索軟體。也沒有想到還有網友沒有更新當時的安全問題。

到是這次是新的感染，或者是早就利用先前的漏洞，埋下的定時炸彈，這個我就沒有足夠的證據來判斷。

記得當時我也提出，通常駭客會留下後門，才會不斷在這次提醒網友，要使用新安裝的監控軟體，而不是內建的監測程式。

至於重新安裝 DMS 是否就能徹底解決問題，根據我接觸 Thecus 機器，與專業人士交換心得的結果來看，是否定的。崁入式系統還有很多地方可以隱藏重要資訊，即使是使用我在 Quickly Reset the Hard Disk in your QNAP Device as New 提出的 Fill Null to Disk，還是無法徹底清除刻意保留的資訊，當時我也很吃驚！

因此，未來對於開放外部網路存取，還是需要定期執行必要的維護資安工作，例如更新安全補釘、檢查 Log 異常、觀察執行程序、設定自動封鎖與防火牆等等。

Anyway, 這次的實驗，已經提供入侵者下列資訊，相信下次的無差別攻擊，才會是真正的開始：

1. Synology 官方發布正式消息的反應時間（< 36 小時）
2. 從 Sunday 開始的訊息傳播速度（Google 1 Page within 12 hours, 10 pages after 24 hours.）
3. 有效且快速的媒體傳播途經（Y-combinator ＆Twitter）
4. 有效攻擊目標（僅加密部份小檔案）
5. 英文勒索網頁 PV 、轉換率、與付費意願
6. 金流隱密性與不可追蹤性
7. 隨時間變化的被追蹤到原始點的機率

真正的專業資安駭客，是像 DEVCORE 戴夫寇爾的專業人士集團，我只是在海邊看著駭客衝浪的路人﹍

Have a nice day!

Best regards,

Amigo

我的部落格：http://amigotechnotes.wordpress.com

tongkaii

tongkaii
個人積分：0分
文章編號：51502339

0分

58樓

2014-08-07 15:53

我覺得比起 NAS, 我家的 smart TV 和 iphone android 手機也很危險, 由其不知家人會下載什麼 apps, WIFI 時可幫它防禦, 在街上用流動數據我什麼也做不到.....

犬王999

犬王999
個人積分：0分
文章編號：51510781

0分

59樓

2014-08-08 0:55

tongkaii wrote:
我覺得比起 NAS, 我家的 smart TV 和 iphone android 手機也很危險, 由其不知家人會下載什麼 apps, WIFI 時可幫它防禦, 在街上用流動數據我什麼也做不到.....

經過Synolocker的洗禮，真正重要的資料，一定要多處備份...
手機裡的照片也只好不定時存到硬碟裡備存啦...

rose548

rose548
個人積分：35分
文章編號：51512610

35分

60樓

2014-08-08 8:37

今早收到synology的e-mail,原文如下：

Dear Synology users,

We would like to inform you that a ransomware called "SynoLocker" is currently affecting some Synology NAS users. This ransomware locks down affected servers, encrypts users’ files, and demands a fee to regain access to the encrypted files.
We have confirmed that the ransomware only affects Synology NAS servers running older versions of DiskStation Manager by exploiting a security vulnerability that was fixed and patched in December, 2013.

Affected users may encounter the following symptoms:

When attempting to log in to DSM, a screen appears informing users that data has been encrypted and a fee is required to unlock data.
Abnormally high CPU usage or a running process called “synosync” (which can be checked at Main Menu > Resource Monitor).
DSM 4.3-3810 or earlier; DSM 4.2-3236 or earlier; DSM 4.1-2851 or earlier; DSM 4.0-2257 or earlier is installed, but the system says no updates are available at Control Panel > DSM Update.
If you have encountered the above symptoms, please shutdown the system immediately and contact our technical support here: https://myds.synology.com/support/support_form.php

If you have not encountered the above symptoms, we strongly recommend downloading and installing DSM 5.0, or any version below:

DSM 4.3-3827 or later
DSM 4.2-3243 or later
DSM 4.0-2259 or later
DSM 3.x or earlier is not affected
You can manually download the latest version from our Download Center and install it at Control Panel > DSM Update > Manual DSM Update.
If you notice any strange behavior or suspect your Synology NAS server has been affected by the above issue, please contact us at security@synology.com.

We sincerely apologize for any problems or inconvenience this issue has caused our users. We’ll keep you updated with the latest information as we continue to address this issue.
Thank you for your continued patience and support.

Sincerely,
Synology Development Team

update:剛剛發現好像回錯主題了...