Na bekapcsoltam, megnéztem egy ilyen TXT fájlt:
C3rb3r Decryptor-t szeretne eladni nekem Tor böngészőn keresztül. a tartalmakat L0CK3D kiterjesztésre titkosította

Nekem ma éjjel gyalulta végig a 8TB HDD-met pont ugyanez. Úgy látszik ez valami olyan szar, ami most(anság) aktiválódott ezeken a Zyxel nas-okon. Még a NAS működéséhez szükséges könyvtárait is lekódolta, ami nem is volt megosztva, tehát nyilván nem egy másik hálózati eszközről végezte ki, hanem internetről jutott be, és futott le a NAS operációs rendszerén. Megnéztem a routerem logját, volt egy bejövő L2TP UDP csomag az adott időpontban, ami egy amerikai virusvédelmi céghez tartozik (censys Inc)...mindenesetre gyanús, lehet, hogy előtte legyártják a virust, amitől aztán meg tudnak védeni jó pénzért...

Próbáltam kideríteni mit lehet tenni, nem sok jóval kecsegtettek, valami frissen talált authorizációs sebezhetőségen keresztül jut be a virus, és a master key nélkül nem lehetséges visszaállítani a filekat (hacsak nincs otthon elfekvőben egy kvantumszámítógép Egyenlőre ennyit sikerült kideríteni, de ha lenne valakinek valami egyéb tippje hogy lehetne visszaállítani a filekat annak nagyon örülnék.

Igazából engem csak az érdekelne, hogy mi az az ok, amiért közvetlenül kiraktok a netre egy nast?

Mondjuk úgy azt nyilvános fórumon nem fogok leírni. Szerencsére én nem vesztettem semmi fontos adatot.

Az az érdekes, hogy nekem csak 2 nyitott portom volt a routeren, a 80-as http és a 23-as SSH volt megforwardolva egy másik külső portra...ok, a 80-as valóban eléggé sebezhető, gondolom ott történt a galiba

Mondjuk úgy a kérédés nem konkrét volt, hanem utalás, hogy SEMMIT nem rakunk ki a netre közvetlenül.

herkulesminusz
A 23-as az alapból telnet port, nem SSH. A telnetet pedig tiltjuk, mint állat!

[ Szerkesztve ]

upnpn tiltva volt, az a pár portforward be volt lőve a modemen. Innentől fogva nem tudom mi történt illetve hogy mi ez az Indipendent forwarding cucc.

Természetesen félrebeszéltem, telnet tiltva volt, a 22-es portot akartam írni.

Ha még nem olvastátok volna [link]

A szakértők az EoL eszközök cseréjét javasolják, és rámutattak, hogy a PoC exploit kód nyilvánosan elérhető.

Köszi B+

Nagyon fasza. Pont a cikkben is említett 5.21(AAZF.16)C0 volt a nas326-mon. Akkor már legalább tudom, hogy hogyan történt a dolog. Mivel nyitva volt a HTTP port működhetett a manipulált HTTP POST kérés elküldés.

De nekem 5.21(AAZF.18) van fent.

5.21(AAZF.18) alatt L0CK3D minden fájl, kis txt üzenet. Elveszve látszik minden. A behatolás ideje 2024. 07. 25. 07:36 reggel támad a kis szemétláda, vélhetőleg ott akkor van este.

[ Szerkesztve ]

Jah itt nincs like gomb a kommentekhez.
Én most raktam be az első lemezt HDsentinel felület inicializálásra ...
Lehet ezt a NAS-t USB storage/RAID merevlemez házként használni?
A logikát ráhagynám egy miniPC-re, amire Ubuntu vagy valami custom op kerülne.

[ Szerkesztve ]

Nem tudom hogy ezek segítenek-e: [link] [link]

[ Szerkesztve ]

Azt lehet tudni, hogy milyen portok voltak nyitva? vagy ez irreleváns ...

[ Szerkesztve ]

HDsentinel programot pc-re feltéve tudja a nasban lévő merevlemezt ellenőrizni,nem kell kivenni a merevlemezt:
Fájl/Kapcsolat nélküli lemezek állapotának betöltése...

[ Szerkesztve ]

Az egyik a fizetős Combo Cleaner Antivirus-t javasolja, a másikra rákeresve annyi jön ki hogy kontaktálj egy orosz emberrel. Egyik sem valami bizalomgerjesztő

Ha túléled a nason lévő fájlok elvesztését akkor particionáld újra a merevlemezt és utána tegyél fel egy firmware-t a nasra,majd állítsd vissza gyári beállításra. Mielőtt ismét használnád én javasolnék egy ismételt merevlemez formázást. Aztán mehetnek rá a programok. UPnP Port Mapping-ot ne kapcsold be.
Ha van bármilyen más eszköz a hálózaton /pc, telefon/akkor erőssen javalt azokon is egy vírus valamint kémprogram keresés is..

[ Szerkesztve ]

Esetleg felrakok rá egy TrueNAS rendszert

Akkor mi is várjuk a támadását? Mit lehet tenni ellene?