【静音・高機能NAS】QNAP part56【自宅サーバ】
レス数が1000を超えています。これ以上書き込みはできません。
※次スレは>>970踏んだ方が立てて下さい。立てる時は1行目に !extend:checked:vvvvv:1000:512 をお忘れなく。
静音・高速・高性能なNASサーバ、QNAPのアプライアンス製品のスレ
NASを使う際に気になる点、速度・機能・静音などを高いレベルで満たす数少ない製品です
NASは初めての方から、標準搭載の各種機能が目的の方、データ保全とセキュリティが重要な業務用途、
Linuxベースの自宅サーバが欲しい方まで、幅広いユーザに最適です
QNAPは台湾のメーカーですが、マニュアルからユーティリティまで完全日本語対応です
・オフィシャルサイト: https://www.qnap.com/ja-jp/
QNAP NAS Community Forum https://forum.qnap.com/
保証情報 https://www.qnap.com/ja-jp/service_ask/
販売/流通ルートは(海外通販や並行輸入品なども含めて)幾つもあります
正規代理店も複数あるので、故障時の手間や保証サポートのことも考えて、好きな流通経路のものを
関連サイト
・QNAP Club Japan https://www.qnapclub.jp/
関連スレ
NAS総合スレPart31 (LAN接続HDD)
https://mevius.5ch.net/test/read.cgi/hard/1566794151/
前スレ・過去スレ:【静音・高機能NAS】
part49 https://mevius.5ch.net/test/read.cgi/hard/1569008532/
part50 https://mevius.5ch.net/test/read.cgi/hard/1577438170/
part51
https://mevius.5ch.net/test/read.cgi/hard/1583806285/
part52
https://mevius.5ch.net/test/read.cgi/hard/1591197765/
part53
https://mevius.5ch.net/test/read.cgi/hard/1597666162/
【静音・高機能NAS】QNAP part54【自宅サーバ】
https://mevius.5ch.net/test/read.cgi/hard/1607608227/
【静音・高機能NAS】QNAP part55【自宅サーバ】
https://mevius.5ch.net/test/read.cgi/hard/1615087933/
VIPQ2_EXTDAT: checked:vvvvv:1000:512:: EXT was configured Qlockerって、もしかしてスナップショットも消してる? 篠スレにIPSルータのログ貼ってる人がいるね
369不明なデバイスさん (ワッチョイ 578e-qkrr)2021/04/22(木) 19:37:56.47ID:CK1QfIRR0
QNAPで公式DDNSリダイレクタから入って来たランサムに殺られてる奴居るようだけどうちのTPにもSTUNでNAT越えようとした奴の履歴がたくさん残ってた
やっぱRT2600acは優秀だ素晴らしい
なくてもFWで弾けてたし俺のQTSバージョンでは問題なかったぽいけどニヤニヤして遊ぶにはもってこい
https://i.imgur.com/FbzliHv.png とりあえずの対策は
admin無効化
アプリの更新(特にVideo station)
ルータのPnP停止
QNAPのPnP停止
myQNAPCloudの利用停止
くらいかな 他のNASも〜とか見てグダグダしてるうちに7zファイルが増えた 前スレでadmin試行でうぎゃー、無効化したけど副作用がーとかさんざんやったから
皆さんadminは無効化済みだと思ってたんだけどそうでもないのかな >>8
現在進行形でプロセスが仕事中なら
psコマンド叩けば7zのパスワードが見えるのかも 453dでメモリ増設する予定ですが、16もあれば十分でしょうか?
仮想マシンとかも使う予定なのですが32あったほうがいいですか? >>7
myqnapcloudは直接の問題じゃないよ
admin無効化
デフォルトポートの変更
ポートスキャンのブロック
ルータFWでWAN着信の地域限定化
UPnPはNAT FW連携の停止(NAT設定は平気) >>13
x53DはCPUの制限でMAX8GB
16GBはモジュール次第で認識するけど不安定になる事もある
両面チップのモジュールが認識しやすい
32GBは基本無理 >>8
暗号化には /usr/local/sbin/7z を使っているので
7zをパスワードを記録するようなコマンドに書き換えるとよい
psコマンドではパスワードは表示されないらしい
https://forum.qnap.com/viewtopic.php?f=45&;t=160849&start=75#p786971 ようやっとTS-253D上のVM(Windows10)でPT3が使えた
pcieパススルー設定後はVMの再起動じゃPT3認識しなくて
VMシャットダウン→VM起動しないとダメだとわかるまで時間がかかったわ >>16
psで見えないのか…ってこれいいね
偽7zに置き換えて食わされた引数をファイルに書くの ド素人で申し訳ないんだけど、そのランサムウェアはワンタイムパスワード使っててもダメなのか? すまない。
焦って再起動してQTS更新しちまった
終わってから調べたら7zファイルは約200個見つかった。
全部20MB以下。
このNASに保管しているすべての20MB以下ファイルが漏れなく7zになってるので
見事にやられた状態。
タイムスタンプ見ると2個増えたんじゃなくて
自部の探し方が悪くて後から見つかっただけっぽい。
200個のファイルのタイムスタンプは1分も差がなかった。
気が付いた時には手遅れだったみたい。
外部との共有用でファイル自体は別の場所にもあるので被害は無いが
やっぱり悔しいな やられた…
今気づいて検索してここまで来たよ…
一旦電源落とした フォーラムをいくつか見てるけど、これという原因は特定されていないんだよね
未知の脆弱性や既存の脆弱性を一斉に狙ってるのかも
>>19
書き出したファイルを暗号化されたら駄目だけどねw
loggerで書き出してもいいかも これ電源落としたほうがいいの?
もう結構やられちゃったけど……
admin無効化したら大丈夫かな? なんの防御策も行わず外部公開にしてる抜けてる人多いんだなぁ。 かなりの騒ぎになってますね。
自分も今から7z化されてないか確認します、、 >>19
のパターンも考えると中途半端に電源落とすの考えもの。
ひょっとしたらkeyが分かるかも。ミスると被害は拡大するかもしれんが。 >>32
逆に落とすの止めました もう重要なファイルが7zipになっちゃってるから逆に関係ない…
keyが分かればいいんですけどね… >>16のこれって
cd /usr/local/sbin; printf '#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;
7zip化が進んでる状態じゃないと意味がないのかな?
もうadmin無効化とかQNAPcloud無効化で止まったっぽいんだけど、それだとパスワード解析することは出来ない? >>18
認識もするし動くことは動くが、運用中不可解なエラーがでるよ。ストレージエラーでRAID再構築が始まったりとか。海外フォーラムでもわりかし定番。
基本はCPUの上限でやめといた方が吉。
サポートも純正メモリ以外は純正メモリに換装後に問題あるならサポートするよってスタンス
ブログとかの奴らは認識して使えてる風な事を書くがろくに使ってないから問題が出ない。そんなならそもそもそこまでいらんやろ。 PHPの脆弱性が狙われたんだと、PHPの公式サイトがハッキング被害に遇ったのと
関係してるかもしれんね。
PHPの公式Gitサーバーにハッキング被害--バックドアを仕掛けるコードが見つかる
japan.cnet.com/article/35168549/
ハッカーがPHPの開発者になりすましてソースコードにバックドアを仕込んでいたことが判
gigazine.net/news/20210330-phps-git-server-hacked-backdoors/ Multimedia直下のVideoPictureMusicが暗号化されてて
Multimedia直下の他のフォルダとかPublicフォルダとかは無事だった
優先してやったりしてるんだろうか > $ ps --help
(snip)
> This version of ps accepts no options.
(´;ω;`)
いつも ps ax | grep foo 程度の使用で気づいてなかった真実をいま学んだ
後ろが切れる状態から変えようがないんだったらそら見えないか
というかずっと無意味にオプションつけてたよ… >>2の上の記事
Update 4/22/21: A bug was discovered last night that allowed victims
to recover their 7zip password for free
but was fixed soon after being discovered. More info in update below.
えええ… 先月malware removerがマルウェア発見して、たまたま機種変更しようと思ってたところだったからすぐ機種変更して、セキュリティ関連も見直ししたんだけど、あの時ほったらかしてたら確実にやられてたな… >>39
これ、解決方法あるよーって言ってたやつ?解決できなかったのか…
QNAP公式はなんにもアナウンスしてないの 写真とmp3、自炊データが被害に……
大部分が容量大きめで↑以外殆ど被害がなかったのが救い
とりあえずupnpと二段階認証とCloudとadminの無効化・確認してきた >>41
解決手段(穴)がふさがれてしまった、という感じだと思っていただければ
公式のアナウンスは今のところ>>28に載せてくれてるリンク スナップショットがランサムウェアによって削除されてるしどうすればいいんだ >>35
x53Dでやれる範囲のVMだったら8GBで十分だしな
篠と違ってメモリ大量に積んでもあんまりキャッシュ効果もないし winで/mnt/HDA_ROOTにアクセスするにはどうすればいいの?
SSHでファイル移動する以外にGUIでは見れない? アナウンスから
> QNAP has released an updated version of Malware Remover for operating systems
> such as QTS and QuTS hero to address the ransomware attack.
> If user data is encrypted or being encrypted, the NAS must not be shut down.
> Users should run a malware scan with the latest Malware Remover version immediately,
> and then contact QNAP Technical Support at https://service.qnap.com/.
(雑すぎる和訳)
ランサム対策で Malware Remover を新しくしたんよ
もし暗号化済み・暗号化中だったらNASをシャットダウンしちゃダメ
すぐに最新版の Malware Remover でスキャン、んでからサポートに連絡してね セキュリティ対策は>>14
ルータがセキュアな製品じゃない人はこの機会に買い替えましょう
IPS/IDSついてるASUSかSynologyがオススメ
BUFFALOとか日本製はとにかくゴミ 誰か/mnt/HDA_ROOT/以下の見方教えて…
共有フォルダはそれ以下の
外してlinuxでマウントしようにも電源落とせないから外せない 2行目抜けてた
SMBだと共有フォルダ以下しか見れないよね? >>45
VMなんか今どき使わない。
うちは16GBでDockerコンテナ起動しまくってそこそこ負荷かけてるけど、安定して稼働してるよ。 998 名前:不明なデバイスさん (ブーイモ MM9b-9WMT) [sage] :2021/04/22(木) 20:43:55.74 ID:1yFbfocbM
何のウイルスのときか忘れたけどプロセス止めたり再起動するっていう対応が不正解というとんでもないパターンもあったよな。
プロセスが生きてる場合に限りワクチン起動するとメモリから複合鍵を生成できるみたいな。
ほっとくとモリモリ暗号化が進んでくかもしれないし無責任なアドバイスはできないけど。判断むずかしいな。
人の言うことは聞いてみるもんだな。 アドミン無効化してないやついるってことか?まじか? >>54
どんなことしてる?
PT3パススルーで録画マシン組んだり尼フォト動かしたり出来るならVMなんか使わないが どうすればいいん?
とりあえず外にはつながってないから放置でもOK?
$ echo 'とけばわかる' | md5sum
8af456005f50587ac913f76ae00eda93 - $ echo -n '解けばわかる' | md5sum
14980c8b8a96fd9e279796a61cf82c9c -
改行… 知識もないのに調子に乗って購入したらこのザマですよ >>56
脆弱性のクラックだからadmin云々は関係ないっしょ
パス破ったりむりやり昇位して乗っ取ったわけじゃないんだから まあ流石に外からつながらなけりゃ大丈夫かな…
続報をまとうず なんかシャットダウンやら再起動したらアウトな空気だよな
シャットダウンしちまったよ >>60
キチンとセキュリティ対策してた人は長期ユーザでも限られた一部だから気にするなよ
ご愁傷さまです クローンやフルバックアップも取ってない時点でNASユーザーとしては失格の部類だろ
NASはテンポラリであって保管場所じゃない NASがバックアップ手段のうちの一つでしかないんでいくらでも攻撃してくれって感じ
やられたことないけど(´ω`) ファームウェア更新とシャットダウンやってしまったけど
再起動後もガリガリHDD動いてるっぽいんだけど
まだ暗号化走ってるのかな シャットダウンすればそれ以上暗号化される心配はないけど
動作中であれば>>16でパスワードがわかる
再起動したら暗号化が再び始まったという話もあるので判断が難しい
とりあえずforumの最新情報を見て判断するしか、消された元ファイルを復活させるとか
https://www.bleepingcomputer.com/forums/t/749247/qlocker-qnap-nas-ransomware-encrypting-with-extension-7z/
https://forum.qnap.com/viewtopic.php?f=45&;t=160849&sid=8223b1531d52b41ffcd0f23b148495e8 最大のセキュリティ対策はやはり冗長化だな。
即FW適用は不具合を拾って死ぬリスクもあるし。
ディスクのロットをバラして筐体冗長はメーカーもバラしたいところ。
あと個人ユースでの倉庫レベルならスナップショットよりも日単位か週単位くらいに世代ずらしてバックアップするほうが良いわ。
元ファイルはデジカメのSDなりPCのローカルなりに1週間分くらい置いておけば良いわけで。
更にいうと月1で外付けHDDにも逃すくらいのことすると落雷サージとかまで考えたらなお良いけどズボラな性格の自分には絶対に無理だわ。
あとはAWSのglacierくらいか。 よしもう1台買う決心がついた
問題はHDDがどこにも売ってないことなんだよなあ… フォーラム見てたんだけどこれってどういう事か分かる人いる?
You might be a lucky exception. My files are encrypted. Check on one file with
/usr/local/sbin/7z.bak l -slt FILENMAE.7z
local/sbin/7z.bak l -slt FILENMAE.7z やっぱりスナップショットはランサムウェア対策にはならんのだな
そりゃそうだ
QNAP公式サイトでさんざんランサムウェアにはスナップショットを連呼してたから騙されるところだった 朝起きたらマルウエアリムーバーがエラーで開かないんだけどみんなは大丈夫? アプリ再起動したらいけた模様。
スレ汚し申し訳ない adminの無効化はどうなんだろうな。
簡単なパスワードを設定しなければ関係ない気がする。脆弱性を突かれる場合は関係ないだろうし。 資格情報はファームにハードコーディングされたパスワードでログインしてるって言う
情報があったんで、もしそうだとするとadminを無効化するのは意味ないね
どうしてそんな仕込みをしてあるのかは不明だけど スナップショットは十分な容量がある上でやられたのがPC側なら意味はある。
NASがやられると意味なさそう。 >>48
普通は出るファイル・フォルダがないことにされる。
>>77
ttps://www.qnap.com/en/security-advisory/QSA-21-13
これのことでしょ?多分これがアタリだと思う。
うちはポートも変えてたし、adminも無効にしてたけどやられた。
皮肉にもHBS 3 Hybrid Backup Syncで外部ディスクにバックアップ取ってたおかげでファイル復旧は出来たけど。 degrade modeってなんだよ
動作がとてつもなく遅い やられたのか >>80
sshで入ってps auxでもしてみ
変なプロセスが多すぎるとか >>79
双子の脆弱性って解説があるみたいやぞ。
ttps://www.vortez.net/news_story/qnap_nas_users_advised_to_urgently_update_malware_remover_due_to_ransomware.html
> More details on the vulnerabilities exploited can be found at QNAP security advisories
> QSA-21-11 (https://qnap.to/3eq7hy) and QSA-21-13 (https://qnap.to/3dygse).
無線ルーターを最近出たQNAPのQHora-301Wに交換して、QNAPのNASを導入しよう
かと思ってたけど、どちらもまだ導入してなくてよかった。 しかし、疑問なのは、どうやってWAN側からNASまで辿り着いたのか、だよね。この脆弱性を利用するにせよ、NASにはアクセスしないといかんわけで。 今回のランサムウェアのいま出てる情報を総括して考えると
・UPnPの脆弱性とHBC3にハードコードされたパスワードを利用して侵入している可能性
・ある容量以下のファイルを全て7zに暗号化する
・解凍パスワードは32桁なので総当り解読は無意味
・プロセスが動作中であればパスワードを抜き出せる可能性あり
こんな感じかな? >>79
ポート変えてたってのが気になる。
HTTPとか開けてたの? >>82
マルチメディア〜はうちの環境だと当てはまらない(使ってないしインストールしていない。QTSは3月2日のアップデートが最新)ので、HBS3のハードコートパスの方が拙いと思ってる。
>>85
使おうが使うまいがポート変えるのは基本でしょ?
それはともかくmyqnapcloudで外向きに出してる。
外部公開していない人で当たった人は居ないのでは?
うちの環境から察するに、myqnapcloudでターゲティング(一寸前にadminに対してもの凄い総当たり攻撃があったのはmyqnapcloudでターゲティングしたんだと思ってる)、
HBS3のハードコートパスワードで侵入したんだと思う。 admin無効 関係なし
ポート変更 関係なし
現状できる回避策はUPnPのオフとNASをネットワークから隔離することくらい あああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああ
金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ >>86
ありがとう。
myqnapcloudで当たりをつけてupnpで侵入って感じか。
それだとmy〜を使ってない人はほぼセーフってところか。 新機種買ったので現有機器をローカル限定に切り替えたところだった。
ギリギリセーフw 流れと関係ないけどTS-231Pを4.5.2 Build 20210406に上げたらWebDAVに繋がらなくなった とりあえず今回のランサムウェア緊急回避対策
・最新のHBS3に更新
・QNAPの外向きサービスとの紐付け解除
・UPnP停止
・最新のMalware Removerをインストール
出来るならネットワークから切り離してスタンドアロン環境で様子見もあり 7zのパス出させる方法は手遅れだったので
小さいファイルを32桁開始で総当たりする解析スクリプト回し始めた
たぶん無理 うちので外とやり取りあるのはこれだけ。
DDNS noipで更新
NTP nict
L2TP
インバウンドはNAS以外を含めてもL2TPしか通してない。
それ以外はブロードバンドルータで止めてる。
myQNAPはアカウント自体を作ってない。
これなら大丈夫だよな?
昨晩確認した限りではルータにはアメリカとかチェコから1時間に数件のpingがあった程度。
NASにはadminとL2TP用のユーザでのログインログしかなかった。 /usr/local/sbin/7z がシェルスクリプトに変更されている >>95
デフォルトだと /share/CACHEDEV1_DATA/.qpkg/MalwareRemover/7z.log に
7zのパスワードを保存するようだ、ご注意を 攻撃を受けた人って
/root/re.sh
/mnt/ext/opt/apps/backup.php
のファイルがある? なにがショックってスナップショットが全く役に立たなかったってこと
意味ないじゃん・・・ >>96
95を見て「それは>>16をやったからでは?」と思ったら16さんだった件
最新のMalware Removerを走らせたらそうなった、とかでもないのかな
7zが書き換えられてログ取るようにされた!QNAPに!的な >>99
/usr/local/sbin/7zの更新日付がMalware Removerが動いた時間なので多分そうではないかと >>89
upnpはどうなんだろう?本質的にはHBS3に入ってた認証情報が使われた可能性が結構あるというところまでな気がする。
いや疑わしきは罰すの精神でupnp無効はアリと思うけど。
>>92
Malware Remover入れて回したら、「見つかって除去したわ。再起動して」って出るけど、公式は再起動するなと言ってる罠
https://www.qnap.com/ja-jp/news/2021
>>94
今回の件とは別件だけど、adminに対して1日で1000件以上(途中から数えるのを止めた)のブルートフォース攻撃が起こったりしてるから、可能性は低いにしても外向きに構えるならadminは無効にしないと。
>>97
/mnt/ext/opt/apps/backup.phpだけあって、中身は「<?php eval($_POST["cmd"]);?>」のみだったけど、何かあるの?
>>98
スナップショットが消されてこの世の絶望を味わったけど、皮肉にもHBS3のおかげで外付けディスクにバックアップが取れてて地獄と天国を見て、
多重バックアップは必須というのを思い知ったわ。 帰ったら俺もNAS確認しよ、月曜日にはHBS3がUSBHDDを上書きしちゃう! >>100
「海外フォーラムチェックしながら心配してくれてる人が、やられた?」と
動揺して勝手に16さんだと決め付けてごめんなさい
QNAPの仕業っぽかったら問題なしですね。ログの置き場も置き場だし >>79
>>64のファイルがスナップショット無効化とphpのエクスプロイトらしい >>101
ありがとう。
念のため片方はadmin外してgoogle認証アプリの2要素までセットしたわ。 ポート開放、adminの無効化、2要素認証、ポート変更は関係なく、myQNAPcloud経由でアクセスを許可してる人が侵入されるのかな?
myQNAPcloudは繋ぎ方が複数あって、UPnPとnasからqnapに繋ぎに行くcloudlinkとがある。 これQNAPどう落とし前つけるの?
修正バージョン配ってロックかかった人は残念だったねで終わり? 使用条件に入ってるだろ
いかなる理由があってもデータの損失に責任を負わないって
これに同意しなければそもそも使えない
どんなソフトでもハードでも同じ
ゼロデイだろうがそうでなかろうが関係ない
バックアップ取るのはユーザーの責任
ガタガタ騒ぐな windows狙い撃ちのウイルスに感染したってMSがなんか保証するわけじゃないしな 使用条件にはQNAPを崇め奉らなければQNAPは使えないとは書かれていない
ならばガタガタ騒ぐも開発の無能さを嘆くも ユーザーの勝手 というわけだから
俺は騒ぐ分には大いに騒いでいいと思うぜ
特にこの件はな 大切なデータは正副予備の3段構えにしとけと
俺は言ってなかったわ(´・ω・`) 結局のところ、クラウド経由のリモートアクセスみたいな飛び道具は危険って結論だよね。
「絶対」はないから、QNAPに限らず、どんな製品でも言えること。 家の玄関を見せれば泥棒は何とかして忍び込もうとするものだ 取り合えずやることはこれくらかな
1.Malware Removerを最新にしてスキャン
マルウェア実行中であればパスワードが保存できる
/share/CACHEDEV1_DATA/.qpkg/MalwareRemover/7z.log
2.すべてのアプリを最新版に更新
3.ルーターのUPnP機能停止 >>109
それもそうね。
>>117
別のパスワードで二重に圧縮かけられるだけなんじゃ… 某巨大ストレージベンダーが脆弱性突かれたとかでなく自分のトコのファームウェアのせいで世界中で企業のデータ完全に吹っ飛ばしたときでさえ使用許諾条件盾に一切保証なし。
しかも同じストレージ使ってバックアップ取ってたトコはバックアップまで全部飛んだというオマケ付き
ハードソフトはそういう世界
見限ってベンダー変えるのも自由 >>101
/mnt/ext/opt/apps/backup.php が外部からHTTPで
NAS上の任意のコマンドを実行するためのコマンドのようだね
ということは/root/re.shがスナップショットを無効化するためのコマンドかな
/root/r.py も今回の攻撃に関係しているみたい >>120
re.shもr.pyも無かったわ・・・。 なんかスレが進んでいたので見たらゼロデイ攻撃があったのか。
IPoE(MAP-E)+Firewall+NASのIPv6無効+myQNAPCloud未登録なので
影響はないと思うけど、アップデートしておこう。
何やっているか分からないモノを外部に晒すのはちょっと怖いのでNASだけ
IPv6アドレス付与切っておいたけど、今回は正解だったか。
外付けディスクにバックアップしてる人に聞きたいのだけど、
バックアップスケジュールってどうしてる? 手動?
自動スケジュールで外付けディスク繋ぎっぱなしだとランサムウェアの
被害に遭いそうだけど、毎回手動でUSBケーブルを抜き差しするのも面倒そう… ランサムウェアにやられた後のをバックアップしたら意味がないし、複数世代のバックアップをリモートサイトに取っておくのが一番だよね。
うちは毎日同期しちゃってるからデータ改変には効果がないけど、外付けディスクと実家のNASにコピーしてる。 取引先から被害報告なくてちょっとガッカリ(´・ω・`) うちは全然被害に遭ってないっぽい
qnapcloud使っててもセーフなケースあり? 全くわからん!
[/share/CACHEDEV1_DATA/.qpkg/MalwareRemover] # cat 7z.log
/usr/local/sbin/7z.orig
/proc/21060:/bin/sh
Uid: 0 0 0 0
/proc/11612:/bin/sh
Uid: 0 0 0 0
/proc/11488:/usr/sbin/sshd
Uid: 0 0 0 0
/proc/32474:/usr/sbin/sshd
Uid: 0 0 0 0
/usr/local/sbin/7z.orig
/proc/28651:/bin/sh
Uid: 0 0 0 0
/proc/11612:/bin/sh
Uid: 0 0 0 0
/proc/11488:/usr/sbin/sshd
Uid: 0 0 0 0
/proc/32474:/usr/sbin/sshd
Uid: 0 0 0 0 https://www.cybersecurity-help.cz/blog/2064.html
QNAPは、攻撃者がCVE-2020-36195(※)の脆弱性を悪用してデバイス上でランサムウェアを実行していると考えていると述べた。
※SQL injection in QNAP Multimedia Console and Media Streaming Add-On
myqnapcloudがあってもセーフなのはマルチメディア系アプリが入ってないという可能性もあるかな >>129
暗号化のオプションを指定した場合は /usr/local/sbin/7z.orig の後にパスワードが表示される
> /usr/local/sbin/7z.orig "-p" "password" >>128
ぶっちゃけあんまり手の込んだ設定はしてないと思う
マルチメディア系も結構使っててQVideoやら大概のやつは入ってる
adminもそのまま、一応長いパスワードではあるけど関係無いんだよね?
ただ、イントラ内だとhttp://nas名ではアクセス不可
nas内にwindowsserver入れてiisとapache同居環境とか
変な事やってる余波で別のipじゃないと管理画面に行かない
lanは5本生えてて全部接続してる >>132
今日初めてLinuxコマンドなんて打ったもんだから、こんな感じで良いんか分からんす...
Unsupported commandって言われてるから、多分やり方が違うんだろうな
[/usr] # /usr/local/sbin/7z.orig "-p" "password"
7-Zip [32] 16.02 : Copyright (c) 1999-2016 Igor Pavlov : 2016-05-21
p7zip Version 16.02 (locale=en_US.UTF-8,Utf16=on,HugeFiles=on,32 bits,4 CPUs LE)
Command Line Error:
Unsupported command:
password 今帰って確認したけど、大丈夫ぽいかな?
マルチメディア系入ってるし、myQnapcloudも動いてる状態。 QTSやMalware Removerを最新に更新していたら影響は無かったのでしょうか? /usr/local/sbin/7z が元のバイナリに戻っている… HBS 3 Hybrid Backup Sync と Malware Remover の更新が来ている
HBS 3 Hybrid Backup Syncの修正内容がかなりヤバそう… 修正も手探りなのかね。この感じだと特に必須でないなら、マルチメディア系、HBS3 backup syncは一旦停止させ、バックアップの外付けhddは外しておいた方が安全なのかもね。大丈夫な人もこれから攻撃来るかもしれないわけだし。 バックアップなんてローカルでスケジュールでやりたい
だけなんだけどな… このアプリ重厚過ぎ バックアップは簡素で軽いのがいいという人は
rsync を叩くシェルスクリプトを用意して cron で起こすとか 大丈夫そうで電源切った
外からのアクセスはしてなくてmyqnapcloudも使ってない
取り敢えずルーターのupnp切って外付けHDD外した、次はOSとHBS3とMalR.のバージョンアップしたら大丈夫なんだろうか ・シャットダウンした
・ファームとMalware Removerを更新した
・その後7zの暗号が取得できなかった
人に聞きたいんだけど、その後起動したときにHDDの動作音聞こえる?
自分のQNAPがその状況なんだけど起動したときにずっとHDDの動作音してて
何かよからぬものが動いてるはずなんだけど圧縮が進んでるようには見えなくて気味が悪いんだよね >>127
それはあると思うよ。攻撃者も一意の攻撃先に攻撃してる訳じゃないだろし、処理にも時間がかかるからタイムラグがあって当然だし。
攻撃されない(攻撃対象にならない、なれない)ことだってあると思う。 7zやられたー・・・
でも、.Qsyncは無傷だった。
隠しフォルダには手を着けないのかしら。 外からアクセスして確認→無事。
導入時にセキュリティガチガチにしてたのが功を奏したのかな myqnapcloudからアクセスして確認したら
手持ち3台とも無事だったみたい この時期に論理障害が起きてシャットダウンさせたのは、不幸中の幸いだったのかもしれない。 ウチも平気だった。
クラウド系停止して最新Verに全更新完了。ついでに2段階認証も付けた。
IPoE(DS-Lite)+NASのIPv6無効+myQNAPCloud 利用していた。
Admin生きていたけど、前回大騒ぎになっていた1月時点で当時の最新Verに更新していた。 パスワード15文字以上あるからadmin使ってても大丈夫だよね? 頑張っていたこと
admin無効
パスワード13文字(数字、記号込み)
2段階認証使用
反省点
myqnapcloud使っていた
ルータが10年前のNTTのONU
hybrid backup sync 3でクラウドドライブと連携していた
1ヶ月くらいアップデートサボってた。
.Qsyncが無事だったのは不幸中の幸い。そして暗号化されたデータも最近バックアップ取っていたから、被害は少なくて済んだ。
これって、データを詐取されてダークウェブで公開されたりとかしないよね? myqnapcloudのサーバ側が乗っ取られたわけでもなさそうなのになんでそこが侵入経路になったんだろうか。 >>153
ありがと
>>154
攻撃対象を効率的に探す手掛かりにしたんじゃないかなあ myQNAPcloudはデフォルトではインターネット公開されて
myQNAPcloudユーザであればだれでも検索できるらしいから myqnapcloudのサイトで検索できるしくみもあるんだけど
文字列生成して 53/udp というのが >>155
俺はHDDトラブルでQnapを3週間ほど止めていたから助かったけど>>152とほぼ同じ状況だった
正式に原因が分からないと再稼働できないよ >>152のテンプレ少し改良してみた
■被害=無し
※認証関係
admin 有効
パスワード 15文字(数字、記号込み)
2段階認証 使ってない
※NW関係
myqnapcloud 未登録&未稼働
VPN利用 L2TP
ルータ 10年前のbuffuo無線LANルータ
DDNS ランダム英数字
その他 NAT通過はVPNのみ
※サービス関係
hybrid backup sync ローカルのみ利用
media streaming addon 有効
webサーバ 有効
ssh 有効
OS 4.3.3 build 20180504 >>159
乗っかってみる
■被害=蟻
※認証関係
admin 無効
パスワード 13文字(数字、記号込み)
2段階認証 使っている
※NW関係
myqnapcloud 稼働中
VPN利用 L2TP
ルータ 10年前のNTTのONU
その他 NAT通過はVPNのみ
※サービス関係
hybrid backup sync クラウドドライブと同期
media streaming addon 無効
webサーバ 無効
ssh 無効
OS build 電源切っちゃったし、再投入もしたくないので不明
>>159との違いで怪しいのはmyqnapcloudとhybrid backup syncってことなのかなあ。正直、初めはなぜ侵入されたのか理解できなくて心底恐怖だった。手持ちのPCやスマートフォンが全て侵入経路に見えて、全部電源切って触れなかったもん。今になってみると、やはりQNAP NAS(とそのソフトウェア)そのものの脆弱性に漬け込んだ攻撃だったんだろうなと、信じつつある。 >>152
ルータが10年前のNTTのONU
って何?わからんではないけど。
この程度の知識レベルの人が公開してはいけない時代。 >>161
返す言葉もないけど、ONUなんてそう気軽に交換できるものでも無いわけですよ んじゃ自分もとりあえず報告しとく。
■被害=無し
※認証関係
admin 無効
HTTPSのみ有効
P/W それなりに複雑
2段階認証 有効
OpenSSL+証明書インストール済み
※NW関係
NASサービス 公開なし
システムポート 変更済み
ネットワークアクセス保護 「1分間」「5回」「期限なし」
myQNAPcloud 登録済み(アクセス制御は「カスタマイズ済み」だが未稼働。
myQNAPcloud Link 未インストール
VPN利用 OpenVPN
ルータ HG8045Q(NURO)、UPnPは無効
MyDDNS 有効
その他 NAT通過はVPN、P2P等
※サービス関係
QuFirewall(設定厳しめ)+Malware Remover 稼働中
HBS 3 ローカル&クラウドバックアップで利用
media streaming addon 有効
マルチメディアサービス 有効
ssh 無効
OS 4.5.2.1630 build 20210406(5日ほど前にアップデートした)
大体こんなとこ。 言い方は悪いが、今回のことは紛争地帯にノコノコ出掛けていって誘拐されて助けを求めるのと変わらない。
>>162みたいな論点すり替えの頭の悪いやつが出てくるのも同じ構図。
ここ数年で攻撃する方の手口も複雑になった。
そんなこともわからず、そもそもONUとルーターの違いすらわからんようでは話しにならない。
感染させられたことには同情するけど、危険性を理解した上で使えってこと。 ■被害=無し
※認証関係
admin 有効
パスワード 40桁程度文字(英数字、記号)
2段階認証 なし
※NW関係
myQNAPcloud 登録
myQNAPcloud Link off
公開サービス なし
アクセスコントロール プライベート
VPN
ルータ 10年前のbuffuo無線LANルータ
DDNS ランダム英数字
その他 NAT通過はVPNのみ
※サービス関係
hybrid backup sync ローカルのみ利用
media streaming addon 有効
webサーバ 有効
ssh 有効
OS 4.3.3 build 20180504 >>166
>ONUとルーターの違いすらわからんようでは話しにならない。
言葉足らずだったけど、ルーター機能が内蔵されたONUって結構一般的だよ。 とりあえず被害なかった
本体とアプリ更新してadmin無効確認、myqnapcloudをプライベートにしてログインに二段階認証入れた
これでとりあえずかな ■被害=無し
※認証関係
admin 有効
パスワード 40桁程度文字(英数字、記号)
2段階認証 なし
※NW関係
myQNAPcloud 登録
myQNAPcloud Link off
公開サービス なし
アクセスコントロール プライベート
VPN OpenVPN
DDNS myqnapcloud
NAT https, OpenVPN
ルータ/UPnP 有効
NAS/UpnP 有効ただし登録サービスなし
※サービス関係
HBS 3 利用
media streaming addon 無効
QuFirewall 利用
webサーバ 有効
ssh 無効
OS 4.5.2.1630
2か所でNASを設置しているけどUPnPの有効無効以外は同じ。どちらも被害なし。
てっきりoffだと思っていたけど今回の騒ぎで慌てて確認して切った。
おそらくmyQNAPcloudの設定とHBS3の合わせ技でやられたんだろうな HGWと呼ばれるブツのことなのはたぶんみんなわかってる >>169
後付けの言い訳やめろよ
ONUはONU。ルーターはルーター。
NTTには単体のONUとか単体のルーターがないとでもいうのか?
書くならONU内蔵のルーター、型番○○だ。
だから頭が悪いと指摘している。 >>169
機器形態としてはその通りだけど、機能を意識すれば自然と論理構成で表現するはず。
ゆえに意味が分かっていればF/Wやルーターと言うし、理解していなければそれ以外。 もう諦めて凄腕ハッカーが攻撃して暗号キーを公開してくれるの待つことにする 一昨日NASがハード的に死んだんで
新しいのを買おうと最新情報仕入れに来たら
えらいことになってんのね
まさか俺のもやられてるのかしら… >>173
自分が知らない事指摘されて顔真っ赤じゃん 参考にならんかもだけど
共通
admin無効、管理者20桁パスワード、2段階認証有効
ポート・NAT openVPNの1ポートのみ
3月末 malware発見
機種 TS-220
QTS 4.3.x
HBS(旧版?)
myQnapCloud 利用、公開
uPnP on
QuFirewall なし
現在 被害なし
機種 TS-253D
QTS 4.5.2
HBS 3
myQnapCloud off、非公開
uPnP off
QuFirewall 最高設定 >>175
俺もホワイトハッカーが暗号鍵生成方法を公開してくれるのを待つ
それまで真面目に家内NWのセキュリティ勉強するわ
お金もちゃんと出す >>174
仰るとおり。HGWと呼ばれるブツのことだとみんなが理解してくれるものと、甘えていたよ。
>>169
ごめんね、ごめんね。 >>177
最初の書き込みで「わからんではないけど」と書いてあるだろうが。
お前も頭の悪いやつだな。 どうでもいいことにこだわってスレを荒らすなよアスペかよ 余ってるqnapを再構築してノーガード公開したら楽しそうだけどHBSは最新版になっちゃうか ここまで読んだ限り侵入されたのは馬鹿ばっか
これでOK? 1時間くらいmyqnapcloudでパブリックにして放置してみたけど特にアタックなかったな。
ちなみにomankoっていうidは空いてたぞ。
ただし人柱にしたポンコツQTSは4.2.6だったからHBS3は載ってない。 431Kでポートトランキングを設定して、スマホからは繋がるのにPCからは繋がらないんだけど、何かPCで設定いる?
ルータはNETGEARのRAX80で、ルータの設定画面上ではリンクアグリゲーションとして認識してる
Windows10の資格情報は書き換えた NASに被害受けてなくても頭に致命的なダメージ負ってる奴がいてワロタ
アスペでも生きていけるから頑張れ(´・ω・`) >>190
繋がるというかネットワークとして疎通できるか、ARPテーブルとかも確認してみるとか。 iPhoneからopenvpnがどうしてもつながらない。
妙なこだわりはないからこれやれば鉄板っていう設定を教えて欲しい。 今回の攻撃で暗号化されるのはどの範囲までなんだろう?
自分で作成した共有フォルダ下や外付けドライブまで暗号化されるんだろうか。 よくわからんが被害は受けてないな
adminユーザは無効にしてるがそれ以外はデフォルトでセキュリティは高くないはず。
myqnap登録ありで公開サービスもある。
数週間前のadminアタックも受けてた。
ただ日本時間23時から9時までは電源落としてる 21日のqnap講習会参加したけど、メーカ曰くmedia centerと hybrid backupの公開が原因だとのこと 個人的にはFire wall入れて海外からのip弾けばかなり有効と思ってる ttps://www.youtube.com/watch?v=aq_cIdY_ksQ
誰か一人でもこれで救われることを祈る 定期的にPPPoEセッションなり接続と切断を繰り返し、長期間そのIPアドレスに留まらないのも有効な方法じゃないのかなと思っている。 今回の巻き添えを食ったGoogle Driveの履歴見ると、同じ圧縮・暗号化のタイミングでフォルダ内のファイル名をランダムかつ相互にシャッフルしているみたい。 QuFirewallでアクセス拒否されたIPアドレスや試行した内容を表示させられますか?
Denied access reached the limitとかいう報告は来るけど具体的な内容が見れなくてモヤモヤしてます。 >>200
みんな詳しくセキュリティの設定情報を教えてくれてるけど、海外を弾くはしてたのかな?
自分は難しい事はよくわからないけど、ここ最近のadmin攻撃の流れでadmin無効化と海外を弾くのだけしておいたけど、多分大丈夫そう。
外から繋げなくするのが1番なんだろうけどね。
(外から繋ぎたいのって、雷の時に電源落とすのと、旅行中にエロ動画見るかな位だけどw) >>193
ありがとう!
ローカルで接続出来ないぽい
アプリだと接続できるのは気持ち悪いな
>>206
HBCを使ってるとやられるのかな?
うちはHBC使ってなかったわ ■被害=無し
※認証関係
admin 無効
パスワード 20文字(大小数字)
2段階認証 使ってない
※NW関係
myqnapcloud 稼働 (本人のみでON / UPNP OFF)
VPN利用 なし
ルータ buffallo WSR-5400AX6 (UPNP OFF / ポート開放なし / v6プラス)
DDNS myqnapcloud
その他 ポート 全てデフォルト
※サービス関係
QuFirewall(Basic)+Malware Remover 稼働中
HBS3 ローカルのみ利用
media streaming addon 有効
マルチメディアサービス 有効
Qsync系 無効
webサーバ 有効
FTPサーバ 有効
ssh 有効
OS 4.5.2 build 20210302
ちょっと前のAdminアタックが話題になってた時v6プラスのせいか全然影響無かったんで
myqnapcloudオンにしてポートも全部デフォに戻してたんだよね
数日前からqFireWallでの遮断ログ増えてたから一瞬肝が冷えたわ
とりあえず myqnapcloudとマルチメディア系とSSH無効にしてQTSの8080ポート変えて外付けUSBのケーブル外して様子見 >>197
してる。
qnap管理画面からovpnファイルとca.certを落としてutf-8のままovpnのcaディレクティブに埋め込んで1ファイルに。
openvpnのアプリに取りこんで接続するとタイムアウトになる。
ルータを疑って同一セグメント内からipアドレスを入れてもダメ。
QNAP側にはログイン試行のログも出ない。
L2TPは繋がる。
udp1194じゃなくてtcpに変えてみるか。。。 流れぶった切ってすいません。
TS653D使用、2.5Gbeで有線LAN接続したいPCが1台の場合は、LANポート1つはルーターに(無線で共有する用)、もう1つはPCと直接繋いでローカルアドレスを割り当てて使う方法は大丈夫なものでしょうか?
2.5Gbeハブ経由で使っていたのですが、よく考えれば2.5GbeがほしいのはメインPC1台だけだったので、それならば直接NASとPCを繋いだほうが安定すると思ったので質問しました。
宜しくおねがいします。 >>194
どんなエラーが出るの?
iphone以外は大丈夫なの?
インポートしたファイルのIPアドレスはFQDNに書き換えた? 今回のランサム騒ぎ、日本だけってことなないよね。
世界中のQNAPユーザーが被害にあってるんじゃないのか。 ASUSTORに移るかSynologyに移るか考えてる >>210
ルータとPCにつけるIPアドレスは別々のネットワークにするべきだと思う シノは絶賛機能削除中である意味祭り。
PhotoStationがなくなったとか 今回どーにもならなくて金払うとなるとおいくら万円? >>219
ぐぐーるさんに 0.01btc と尋ねてみた
0.01 ビットコイン は
54,369.97 円 >>214
ロシア系の言語設定にしてあれば被害に遭わないそうなので、犯人はその辺の人だろう(偽装もあるかもだが)
だからこの地域を除く世界中 >>198
そっか。じゃあ外付けにバックアップし取ってた人は何とか出来たのか。 >>217
ルータにつけるIPアドレスとはどういうことでしょうか?
ルーター側のLANポートは192.168以下
PC直繋は169.254…となりますがそれとは別の事でしょうか? >>225
ルーターに接続するNICのIPアドレスは192.168.1.0/24のネットワークで
直結するNICのIPアドレスは192.168.2.0/24のネットワークで
みたいな感じで
NASに付けるIPアドレスは固定した方がいいと思うよ 普通は古ーい機種を使ってた人が馬鹿を見るってパターンが多いけど今回はHBS3が対応してない世代の人たちはセーフか。 仕事から帰って253pro見たら電源ランプが赤。
ヤられたと思ったらウィルススキャンの負荷??でドライブが外れたみたい。
再起動したら治ったから良しとしよう。 久々にきたらやばいことになっててビックリ
ルータ買い替え後設定ほったらかしてたおかげで、外からろくに繋がらない状態だったせいか被害は無かった
QuFirewallの存在を知ったのでインストールしといた なんでリンクローカル…
>>225
PCの(NICの)IPアドレスはどうなる想定なのかな?
有線1つをNAS接続専用にする計画なのか、そんな計画知らないのかどっちでしょ ts-431pで被害に会いまして、とりあえず再起動してはいけないとのことですが、
ポート変更はしておこうと思い、ポートを変更したら
ブラウザからアクセスできなくなってしまったのですが
なにか原因わかる方いらっしゃいます?
いままでやったことなかったですがSSHもだめでした。 ブラウザのURLの後ろに:8080みたいに変更したポート追記すればいけるんちゃう? >>232
最初にやるべきことはポート変更ではなく
Malware Removerの最新版をインストールしてスキャン実行して
/share/CACHEDEV1_DATA/.qpkg/MalwareRemover/7z.log
が作成されるかsshで確認 ちなみに最新版のWaterfoxではプロトコルのデフォルト以外のポート番号を指定すると
このアドレスへの接続は制限されています
と言うエラーが出て接続できないというバグが発生中 232です。
普段から末に:8080つけてたんでそれを変更後:1234(例)みたいな感じに変えたんですがだめという状態でした。
chromeとedgeは少なくともだめでした。 追記でMalware Removerは1日1回自動で実行しており、この騒ぎのあとも一回手動で動作させました。 管理画面のポート(システムポート)を8080から1234(例)に変えて
LAN内から 192.168.1.100:1234(例) で管理画面が出ないようわーん、で合ってるのかな?
それともWAN側から接続できないお話? >>241
あってます。DDNSを使ってるのでそれでWANからでも同様です。 >>242
httpsの443がそのままならそっちで行けると思うんだけど
そっちも変えちゃったのかな? >>243
そっちは変えてないですがうまく行かないです。
admin設定変更初期化のリセットボタン3秒はtmpファイル消えないですかね?
一応少なくとも一回以上Malware Removerは実行できてるのですが7zパスワードとかはそれで拾えてたりするのでしょうか。 SSHでのファイル確認ってcd で1つずつ移動していくしかないのですか?
階層を順番に移動する方法はありませんか? >>244
リセットでそれがどうなるかは試したこともないのでわからんのですよね
SSHで入れたらSMBで共有してるとこへコピーとかできるんだけど >>246
SSHも何故か拒否されるんですよね。
SMBは生きてるのですが... >>245
Windowsのコマンドプロンプトと同じだよ >>247
SSH拒否は接続自体を拒否られるほう(Connection refused/reset)なのか
接続できるけどログインできないほうなのかどっちでしょう?
無効なadminでログインしようとしてるとかでもないのかな >>249
connection refusedですね。teratarmとputty、LAN、WANすべての組み合わせでだめでした。 >>250の追記です。
ただしSSHに関しては当方素人ですので使い方が悪いかもしれないです。 >>250
スマホからQmanagerで接続できれば少しは設定できるよ
あと、SMB繋がるなら可能性低いけど昔IPアドレスで弾かれたことがあるからアドレス変えてみるといいかも >>253
Qmanagerもだめでした。
IPもLANWAN関わらず別回線・別端末試して音沙汰なしです...
adminリセットするしか無いのかなぁ qfinderから管理画面に行くと、設定変更したポートに自動で付け替えてブラウザで開いてくれたっけ? あんまり意識したことないな >>254
あとは別ポートに直結してみるくらいしか思いつかないや
お役に立てず申し訳ない 皆さんいろいろありがとうございます。
adminリセットしようと思います。
また報告に来ます 3月に思い立って外部接続切る設定にしたんだよな
あのとき侵入しようとしてきたオジサンありがとう >236
すみません。今朝、malware remover で例のランサムウェア削除してくれて
そのあとNAS再起動しましたが
今 SSHでつないだら 7z.log ありました。
そして中身を見ると 文字化け?状態でしたが
パスワード有りました!!
こういった感じでありまして >84番さんの書き込みで32文字とあったので
"-pOffbS4U3mIxf9s1D01HHtexr6jjCSHWm" がパスワードぽく見えたので
けつから32桁数えて -pのあとから最後までコピペして解凍したらいけました!!
ほんと鳥肌たちました!!ありがとうございます!
さらにセキュリティーの教訓になりました。
これを機にもっと勉強します。
ほんとありがとうございました!!
/proc/23324:/usr/local/sbin/7z.orig "a" "-mx=0" "-sdel"
"-pOffbS4U3mIxf9s1D01HHtexr6jjCSHWm"
"/share/CACHEDEV1_DATA/share/缺P~D筐C~P筐C~C筐B・
~B≪~C~C筐C~W/大聿[2;1H畿罕~X-筝~J綏~]筝~J 190530/
Public/Music/Sony MediaPlayerX/Shared/Music/DisnB≪~C~
J筐A・~[・~A・コ苙N~K 筐B・~C・~B吾~C~J筐C・~C祉~B
泣~B・~C潟~C~I筐C~H筐C・ /usr/local/sbin以下の7zってコピー出来ないんですか?
ssh接続でcopy コマンド打っても
copy: command not found
と出てファイルを動かせないのですが… 中身がシェルスクリプトの偽7z、効くんだね
32文字数える人が多発しなくて済むように
「-p がパスワード指定オプション、次の文字からパスワード」 現在のQlockerへの対処方法
1.あきらめる
2.身代金を払う
3.TestDiskを使用して暗号化後に削除されたファイルをレスキュー?
4.運が良ければ 7z.log に保存されていたパスワードでファイルを復活する
Qlockerで狙われた脆弱性がすべて解消されたかどうかはわからないので
インターネットから接続できないようにした方が良い
自分もいつやられるかと心配している… マルウェアって怖いんだな
これはやっとけって対策はテンプレ化出来ないかな? あ、ごめん書き出し先のパス間違ってた
/mnt/HDA_ROOTに7z.logやっぱり出てこない…
>>260さんは再起動したら7z.logが出てきた? あーーーこれやっぱり暗号化されてる最中じゃないとなんにも出来ないんだね…。
暗号化完了したらもう打つ手なし 終わりかな 257です。
やっぱりいろいろやったけどだめでadminリセットしました。
結果としてログイン、sshはできましたがログは見当たりませんでした。 /mnt/HDA_ROOT
/share/CACHEDEV1_DATA/.qpkg/MalwareRemover/
みましたが見当たらず。
参考になるかわかりませんがそれっぽいログを
警告 2021-04-23 03:02:20 admin 127.0.0.1 Malware Remover Malware Removal [Malware Remover] Removed high-risk malware. Immediately update QTS and all applications to their latest versions and use stronger account passwords. Weak passwords make the system vulnerable to exploits and malware.
警告 2021-04-23 03:02:23 admin 127.0.0.1 Malware Remover Malware Removal [Malware Remover] Removed malware. You must restart the NAS.
警告 2021-04-23 03:02:24 admin 127.0.0.1 Malware Remover Malware Removal [Malware Remover] Removed the detected malware: MR2102
情報 2021-04-23 03:02:24 admin 127.0.0.1 Malware Remover General [Malware Remover] Scan completed.
情報 2021-04-24 00:33:28 admin 127.0.0.1 App Center App Installation [App Center] Installed Malware Remover4.6.1.1 in "/share/CACHEDEV1_DATA/.qpkg/MalwareRemover". アップデート前のremoverが先にマルウェアを削除してしまったのがまずかったんですかね?
アップデート後のスキャンは特に検出がないようです。 >268
自分の場合、
ファームウェア更新かけて自動で再起動するものと思っていて
今日夕方、NASにログインしたら 更新完了したから再起動する? って聞いてきていて
急いで OKクリック。
更新後、ちょっと不安になって
フリーソフトの everything でNAS内で1フォルダ
(フォルダ名:share)で300GBくらい使っているところ検索かけたら
.このフォルダ内のファイルが .7zになっていました。
そしてQuログみたら23日の午前2時に malware remover が自動で削除してくれてました。
感染時間1日半でした。幸い、share内のバックアップデータファイルだったんで
そこまで喪失感はありませんでしたが。
おそらく。 malware remover を21日に最新版に更新していたので
(知り合いでQnapNAS使っているところから最初話しを聞いてすぐに
APpcenter全て更新とファームウェア更新したが再起動はしていなかった)
最新バージョンだと削除と同時に 7z.logを残すのかなあと思いました。
尚、知り合いはNASのファイル容量が少なかったため malware remover で
削除する前にプロスが消失していたぽいです。
もっと早く気づけてれば手動で remover できたけども、そのころの
reomover のバージョンではログださなかったかもです。 マイニング用途でのHDD需要、確かに品薄にはなってますが、まだ何とか耐えているんですかね。
8TB以上が買い漁られているとの事でしたが。 全然耐えてませんでしたね、
大容量の売ってないですね。 274です。すみません。昨日はパスワード分かってやったー!って思いまして
今朝実際に解凍すると日本語のファイル名の場合、ファイル名が文字化けしてしまっていました。
例 手順書.txt.7z を解凍すると
手順書.txt という名前のフォルダができてその中に元のファイルがマクロ手順.txt
といった感じでできます。
7z , cube ice , winrar で試しましたがいうれも文字化けしてしまいました。
SSHなどで自動一括で解凍時のフォルダ名をファイル名に変更するみたいな事かもしくは
今回と逆に .7zだけ取るということはできないものでしょうか。
ご教授頂けると幸いです。 もしかしてプライベートアドレスしか許可してないわいは高みの見物? 1.あきらめる
→諦めたくない
2.身代金を払う
→払いたくないし解除失敗報告が出てる
3.TestDiskを使用して暗号化後に削除されたファイルをレスキュー?
→元から割と容量逼迫してたのでおそらく7zに置き換えられたときに残骸を上書き済
4.運が良ければ 7z.log に保存されていたパスワードでファイルを復活する
→一度シャットダウンしてしまってる
なので新しいNAS買って完全内部運用で再スタートして
死んだNASは自宅の慰霊碑にしていつか総当たりが高速化して
現実的な解読時間になったときのために取っておくよ… >>278
sshを使う環境になれていない人はBATファイルとexcelでできるんじゃない?
1 エクスプローラーでshiftを押してパスを含めたファル名をコピー
2 excelで一列目をCOPY、二列目を空白、三列目をコピーしたパス、四列目を空白、五列目を三列目をコピーしたパス
から最後の¥以降を削除したもの
3 テキスト形式で保存
4 拡張子をBATにして実行
細部を詰める必要があるけどこんな感じで。 >>281
シャットダウンしても7z.logは削除されないよ あと、windowdsのフリーアプリの「お〜瑠璃ね〜む」で一括リネームできるかも インストールさえしていればmalware removerは自動更新なので感染した時期が遅ければ7z.logがある可能性はちょっとだけある 手順書.txt でなく マクロ手順.txt だと思うんだけど…
これが動く環境の人は自力で解決しちゃう人じゃないかと書いてから気づいた
#!/usr/bin/env perl
use Encode;
#use HTML::Entities;
my $terminal = 'cp932'; # 環境に合わせて cp932 とか utf8 とか選ぶ
# while (<>) { # 実際はこっちで hoge.pl < encoded.list > decoded.list する
while (<DATA>) {
# print encode($terminal, decode('utf8', decode_entities($_))), "\n";
s/&#(\d+);/pack('C', $1)/ge;
print encode($terminal, decode('utf8', $_)), "\n";
}
__DATA__
マクロ手順.txt >>284
Flexible Renamerで"\f.\e"でいけるぽい 272です。
qnapから問い合わせの返答がありました。
仕事中なので詳しくはまたカキコしようと思いますが、logを取得できるのは暗号化が実行中の時のようです。
マルウェアリムーバーがウイルスの実行中に削除していればlogが残るということかもしれません(これは推測) >>287
ケーブル抜いてシャットダウンしないが正解だったんだろうけど
シャットダウンしなかったら暗号化がさらに進むからねえ
海外フォーラム見てたら7z.log吐き出させる手段が見れてた時刻なんだが
本当に失敗したよ >>55
4/22には再起動しない方がいいかもって情報あった malware removerって元々入れておくようなソフトだったのか… 会社でQNAP使っててやられたところは大変だろうなぁ UPnPは無効にした、危険って分かっていながら使ってたけどこういうことがあると使い辛い
いろいろ対応を考えないと今まで通りに使えなくなってしまうからつらい
なんだかコロナみたいだ 気が付かずにいて、今この瞬間も7z化が進行してるやつがいるんだろうね。 インターネットに公開するってこういうことなんだよな。
ちょっとしたことが簡単に致命傷になってしまうけど、全部自己責任。 今回は規模がそれなりに大きそうだから捜査機関が動いて逮捕されそうな気もするけどロシアとかだとなぁ Multimediaフォルダ配下のファイルに7zが無ければ安心してよいのかな 初歩的な質問ですまん
現時点でやられて暗号化され始めているかどうかはFile Stationで7zファイルを検索して判断はまずいのかな。
とりあえず2021年以降に生成された7zファイルは無かった
ログでも怪しい履歴はなさそう
Malware RemoverはこれからDLしてスキャンします。
今後のための対処はAdmin無効化済、
ポート変更はこの後対応します 一番最初にやるべきことは7zファイルを探すことではなく
Malware Removerの最新版を実行すること 一番最初にやるべきことは7zファイルを探すことではなく
Malware Removerの最新版を実行すること
大事なことななので QTSのサポート4.5.xまでだった機種が軒並み「完全」まで延びてね? HBSって同期先のフォルダ設定するとlatestとか勝手に階層切ってくるけど既にrsyncとかで手動で同期してた既存のバックアップ先のフォルダがある場合にそのファイル群を生かして差分だけHBSでバックアップさせるのって無理かな。
1から全部削除してコピーし直すのが無駄だなーと。 もしランサムウェアにやられて直ぐには対処できな場合、ひとまずそのNASをネットから切り離して
新しい機材ですぐにNASを構築することも検討すると思うけど今はHDDが無い!って場合もありそう >>305
当方 x51 持ちだが、伸びてるね。
EOL に向けて買い替えを検討していたが。 >>305
本当だ、伸びてますね。
情報ありがとう! バックアップ用にHDD欲しいんだけどな
マイナーも転売屋も絶滅しろ 278です。月末と言うこともあり仕事建て込みで移動先で見てます。
>>280
ありがとうございます。エンコードの設定して確認してみます。
https://qiita.com/DaikichiDaze/items/4754352da1652d03dc85
windows上で一括ファイル名変換。
.7zファイルのファイル名群をリスト化
解凍後に 一括変換。
なんとなくわかりました。時間ができたときにやってみます。 >>305
そうなんですよね、以前のリストに戻っているような気がします
TS-x73Aの表記も消えていますし >>310
今日はpaypay高還元だから外付けHDD8TB買った。
バックアップ大事だね。 admin無効化にした場合って、今まで使ってたアプリはQTSのトップページに表示すること出来ないの?
appcenterから表示先を全ユーザメニューにしても出てくれないんだけど >>314
メインメニューからのドラッグアンドドロップで可能ですよ HBS3を最新版にアップデートしたらRTRRサーバーの設定が吹き飛んだ
一度アンインストールしたら直ったけど
ルーター新調した直後に同期がエラー起こしたので、ルーター設定を疑ってて時間がかかったわ これmalware removerって手動で入れないといけないんかな。 教えてください。
Puttyで
cd /usr/local/sbin; printf '#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;
をコピペしようとすると
<z.log\nsleep 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;
と入力されてしまうのですが、何がおかしいのでしょうか >>318
QTS4.5.xならQTS初期化したら有無を言わさずインストールされるよ >>319
malware removerを実行すれば、そのコマンドをやる意味はない
むしろ今のスキルだと取り返しのつかない結果を招きそう Qlocker に対して一番最初にやるべきことは
Malware Removerの最新版を実行すること
Qlockerがグレードアップしてたら手遅れだけど >>319
QNAPのほうで偽7zを用意してくれるようになったのに
それをやろうとするのがおかしい、やってはいけない
それは2回叩くと本来の7zを消す可能性があるものだし
タイミングによってはせっかく用意された偽7zを置き換えるかもしれない
確認は ls -l /usr/local/sbin/7z* だけど見てもわからないよね…
何回叩いたかは history を叩く
>>321
本当ならその記載で足りるはずなんだけど
状況を見てると「やる意味がない」ではまだ弱そうに思えてこうなってしまった >>320
そうですよね。4.3.6とかの古いのは手動ですよね。 qnap japan のtwitterに情報が出たけど
記載されてる対処方法は不十分なものだな 普段ので本来の7z使う実装ってあるのかな。
ないなら7z実行時のコマンド全部記録してから実行するように改造しておいたらいいのかな。 >>325
とりあえずファームアップも再起動もしないで、とにかく
Malware Removerの最新版を入れろって事ですかね。 >>326
マルウェア、ウィルススキャンで圧縮ファイル内をスキャンする時に使うかもね。 >321,323
アドバイスありがとうございます。
そうですか、NASがガリガリ言っているのに気が付き、フォルダをのぞいたら「!!!READ_ME.txt」
と7zに圧縮されたデータを見つけ焦ってしまい、とりあえず電源と通信ケーブルを抜いてしまいました。
そしてQnapサポートからのメールとフォーラムの翻訳を頼りに上のコマンドをやってしまいました。
そうですか、取り返しのつかないことになってしまったのですか orz
2年位前にもQnap狙いのランサムにやられたときはカスペルスキーさんが提供してくれた復号プログラムで助けられました。
今回はそういう期待は難しいでしょうか たったの1週間ぶりにスレ覗いたら祭り状態かよ参ったな
明確な侵入経路と侵入の痕跡の確認方法が知りたい 【NASをQlockerランサムウェア攻撃から守る対策】
一番最初にやることはQNAPアプリの最新の Malware Remover をインストールし、マルウェアスキャンを実行すること
一番最初にやることはQNAPアプリの最新の Malware Remover をインストールし、マルウェアスキャンを実行すること
一番最初にやることはQNAPアプリの最新の Malware Remover をインストールし、マルウェアスキャンを実行すること
一番最初にやることはQNAPアプリの最新の Malware Remover をインストールし、マルウェアスキャンを実行すること
一番最初にやることはQNAPアプリの最新の Malware Remover をインストールし、マルウェアスキャンを実行すること
電源やLANケーブルを抜かないこと
> 【NASをQlockerランサムウェア攻撃から守る対策】
>
> ランサムウェアに攻撃されている場合、以下の手順に従ってください。
>
> ?
> 最新の Malware Remover をインストールし、マルウェアスキャンを実行
> ?
> Multimedia Console、Media Streaming Add-on、Hybrid Backup Sync を最新版に更新
>
> (続く)
https://twitter.com/qnapjapan/status/1386519922176446470
一番最初にやることはQNAPアプリの最新の Malware Remover をインストールし、マルウェアスキャンを実行すること
一番最初にやることはQNAPアプリの最新の Malware Remover をインストールし、マルウェアスキャンを実行すること
一番最初にやることはQNAPアプリの最新の Malware Remover をインストールし、マルウェアスキャンを実行すること
一番最初にやることはQNAPアプリの最新の Malware Remover をインストールし、マルウェアスキャンを実行すること
一番最初にやることはQNAPアプリの最新の Malware Remover をインストールし、マルウェアスキャンを実行すること
https://twitter.com/5chan_nel (5ch newer account) 今後またこういう事になったら嫌だから対策しておきたいんだけど、何しておけばいいのかな
NASのHDDの分ローカルにも同じ容量ミラーコピーしておく位しか無いのかな?
qufirewall入れてadmin無効化してても脆弱性で入られる危険性はあるんだよね? うちのNASにもついさっき侵入がみつかったわ。
幸いMalware Removerを最新にしておいたので
削除されたみたいだが。 削除されたっていうことは既に暗号化されてるってことだよ思うけど 1. Linuxサーバの外部公開が本当に必要なのかくれぐれも検討する
2. サーバを外部公開するのであればしかるべき措置を講じる
3. 「おい、2.の詳細」と思った人は外部公開しない
4. LAN内だけの使用でも便利で楽しいよ
世界中からアクセスが来るサーバの管理者を是非ともやりたいのか
そんなこわそうな役目なんてやりたくもないのか考えてみませんか ポートって8080から変えたほうが良いとの事なんですけど、何番が良いという決まりはあるんですか?
8081でもいいんでしょうか ついさっき以下のログが発生した
qnapと関連している外部公開ポートはないし7zは見つからない
これから調べるぜ
Malware Remover Malware Removal [Malware Remover] Removed vulnerable files or folders. Malware ID: MR2102 8081はサーバーでよく使われるから、49152-65535の間から選ぶといい いつの間にか見慣れないユーザーが2つできていた。一つはwasrhereという名前、admin権限付いてた。もう一つはでたらめな文字列、消してしまったので詳細不明。Qlockerと関係あると思うんだけど。 つい今さっきMalwareRemoverからMR2102を削除したって出た
でも、検索しても.7zのファイル一つもないけど
これ助かったのかな?
でも、MalwareRemoverを最新にしたのって23日でそれから数日の定期サーチで引っかかってないのにいきなり定期じゃない20時にスキャンされて見つかってるってのが不思議 >>340
うちも同じの出たが、これは外部からアクションがあったからなのか、みんなほぼ同時にってことは何かアプリの動作なのか 挙動が不明だな
QNAPの本拠がクラックされてランサム時限爆弾入りのアプリ配ったんじゃ無いかと恐れてるわ >>344,346
うちはMailwareRemoverは毎晩3時に実行する設定だけど、今回は20:37の実行結果だった
今はログ調べ中だけどこれだけ散見するとミスな気もするな
とりあえず外部バックアップドライブは抜いておいた >>333
QNAPのサイトには321バックアップしとけって書いてあったよ >>340
うちのも今日出た、3台
OS:最新(TVS-863@4.5.2.1594、TVS-873@4.5.2.1630、TS-653D@4.5.2.1630)
3台共通で
Malware Remover:最新、昨日のスキャンでは引っかかっていない
HBS:最新
myQNAPcloud:未使用
UPnP:無効
マルチホーム構成で、QNAPサービスへのアクセスは隔離LANだけにして、
外に出るルーター側LANはサービスバインドを全て外している
*.7zも自分で作ったもの以外は無し
Malware ID: MR2102は何者なのか? >>340
うちにも来たよ
20:47付けで来てる
まだ7zは探せてないけど見えてるファイルは無事っぽい >>345
うちもそれや! hbs3もマルチメディアも無いけど、443でログだけ? リムーバーのログが中途半端すぎ。 リムーバーが警告メッセージ出してるだけちゃうかな。。
アタックで何か出来たわけじゃない感じしない? マルウェア削除時のログが>>272 (ありがたいことに載せてくれた)
いまザワザワしてる人らのは Removed vulnerable files or folders でしょ
ついでに定義更新後にインスタントスキャンが入る設定にしてるでしょ [Malware Remover] Removed vulnerable files or folders. Malware ID: MR2102
うちのでもこれが出てた、同時刻に /usr/local/sbin/7z が更新されているのでこの関係かもしれない
(定義ファイル実行後に自動的にスキャンが行われる)
海外のフォーラムで状況を見てみると… .qpkg/MalwareRemover/.quarantine にログの時刻の隔離された?っぽいフォルダがあるが
どれが悪いんだかわからんね >>357
その階層みたら2021_04_26_20_37_55.infoと2021_04_26_20_37_55.quarがあった
後者はバイナリなのでわからないけど、前者は「.qpkg/HybridBackup/rr2」内のファイルが記載されてるね
HBSのファイルを隔離したのか? MR2102対策済みのリムーバーです!ってメッセージが出るだけで特に問題無しってことで寝ます。 >>358
同じくこちらにもrrは2あった、そしてHBS3は毎日使用している
あとは etc/config/qsync/home/mgnt_cgi/ というのもあった
まあ、何を隔離したかログ残してよって感じではあるw >>339
自分なら、そんな推測されやすいポートにはしない。 >>361
推測されにくいポートの方が良いでしょうけどデフォルトから変更した時点で
攻撃としては総当たり対象側の可能性が高いので、変更する事には意味が
あるとは思います。 昔からVPN経由でしか外部からのアクセスを許可してなかったんだけどmyqnapcloud設定すると生でwebサーバ公開するの?
ルータがあるときはupnpでポート変換で。 金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ QNAP対応グダグダ杉
malware removerが大事なファイルを誤認削除もワンチャンあるでこれ HBSが今回の件の後バージョンアップしてから、メチャメチャ遅くなったような気がするのは気のせいなんかな。 大事なファイルはクラウドとBD-Rだな。つくづく思った >>372
どこが安全ちゅうこともないよ。方法と場所を分けるって意味ならその通り。 >>356
関連のところで今見たが
QNAPDaniel
QNAP OFFICIAL SUPPORT
This MR2102 message from Malware remover does not mean you were infected. It means some vulnerability in HBS3 was found and patched.
This scared a lot of people. So I think we are going to try to reword this message.
今回のはどう見ても火に油注いでるね >>372
今回のはHBS3が侵入経路っぽくてHBS3でクラウド同期してた人が食らってる >>376
うちはHBS3でクラウドとローカル同期してるけど被害なかった。
セキュリティを厳しめで外部からはVPNのみにしたのが良かったのかな。 >>381
HBS3に脆弱性があるのは正しいけど、クラウド同期してたから侵入されたのかは不明じゃないの? みんなはいつ頃被害受けた?
私は21日の深夜から9時くらいまでなんだけど(タイムスタンプ) >>379
攻撃を受けたユーザのうちの一人がHBS3でクラウド同期していたというレベルの話ではないかと これまだ攻撃動いてるんかな
ハニポ仕掛けたら走るんかな HBSとマルチメディア系使用してると感染率が高いとしか見てない気が adminがアタックされ続けてるという人もいるし、侵入ルートが良く分からんなあ。 攻撃を受けてみたいのならルーターをデフォルト設定にしてmyQNAPcloudをデフォルトで設定するといいよ
システム管理のポート番号もお好きな番号でOK
あとQTSの言語はロシア語圏以外にすることをお忘れなく >>387
adminは3月末に2日くらい続いてた事あった。 やられた272です。
みなさんが言っているMarware Removerの通知は当方環境にはないので感染、暗号化されたというわけではなそうです
ちなみに感染時当方HBS3はインストールされていましたが一回も起動した記憶がないもので同期が云々とかは初期状態のままで特に触ってなかったです。
すでにアンインストールしてしまったのですが、参考になれば
あとMyQnapCloudは使用してました。
公式もココからとは言ってないですがadminログインは数分で3回位pass間違えるとIPブロックをかけていたので総当たり攻撃でAdminからというのはあまり考えづらそうですたぶん いかにも悪さしそうなツールならアンインストールしようかという気にもなるけどバックアップツールが突破口にされるとは思わんわな。 そうしてPCのバックアップが滞ってるうちに今度はPCがランサムに フォーラム情報ではQNAPcloudとUPnPの脆弱性を利用してNASに到達し
HBS3にハードコードされていたマスターパスワードを使って侵入されたようだって結論だったね
そもそもデータ扱う機器のパスワードをハードコードするってどうなんと思うけど うちはMyQNAPCloudもHBS3もUPnPも使ってたけど無事だったな
ルーターも古いNECのヤツだったし
よくわからんね >>397
そもそも来てなかったとかQuFirewallの活用で叩き落してたとか
いろいろ考えられるよ ipv4 over ipv6で接続してた奴はポート解放できんからセーフだったとか >>399
ISP側の制限ですね。1つのv4アドレスで1024ポート程度ですかね。
そう考えると使っている人いないかも知れませんがワイヤレス系だと
そっちもNATかかっててセーフな場合もあるかもですね。 公式サポートに問い合わせたら>>375のFAQ内容まんま送られてきた。
>>382
>>395がまあ真相だろうね。
外向きに公開しててアタリを付けられたら侵入不可避だった。 >>397
全員がアタックされた訳では無いってだけだろ >>395
> パスワードをハードコードするってどうなんと思うけど
これ本当なら、犯人は元従業員とか関係者とかそういう可能性はないのかね?
しかし、QNAPって過去のファームウェアでもヤラかしたこともあったし、ムカつくわ システムイベントログってどうやってコピペするの?
ログをドラッグしても選択出来ない… 脆弱性のあるモジュール読み込みながらも放置してた系じゃないかね。 PCにログインパスワード書いた付箋貼っておくレベル? ハードコードされたクレデンシャルの脆弱性と書いたけど
不適切な認証の脆弱性と書き直すレベル 玄関には鍵をかけてても勝手口が開けっぱなしで
三河屋さんが御用聞きに開けてくるレベル。 どなたかご教授お願いできないでしょうか。
adminを無効にし、別のユーザーに権限を与えログインするようにしたのですが、
https://i.imgur.com/y2VGYUO.png
それ以降特定のフォルダ内のファイルを削除できなくなってしまいました。
https://i.imgur.com/BMrGND8.png
ファイルを削除しようとすると、adminからアクセス許可を得る必要があります。と表示されてしまいます。
・試したこと
・QTSのファイルステーションからなら削除出来ました。接続したwindowsのエクスプローラ上から削除できません。
・読み取り専用のチェックを外そうとすると、ハンドルが無効と表示され続けられません。
https://i.imgur.com/vJuV6D1.png
・セキュリティから所有者を新しいユーザ名に変えようとするとアクセスが拒否されました。と出てしまいます。
https://i.imgur.com/SZm31vZ.png
上記の事を試したのですがどうにも解決策が見当たらず困っています。どなたか分かる方いれば宜しくお願い致します。 >>413
QNAP上で共有フォルダに対して、当該ユーザーもしくはグループからのアクセス権限を与えなさい。
ほぼ全ての設定はqnap上で行う。windowsはクライアントであってサーバじゃない。 新しいファームウェア来てるな。
さっき当てたけど不具合無さそう・・・多分 どなたか教えてください。
dlnaにて写真が表示されなくて困っています。
動画、音楽は表示され、再生も問題なくできます。
Multimedia Consoleには写真の数が表示されています。
dlna機器から写真(JPG)のあるフォルダを表示させるも、「空です」とか「表示できるコンテンツがありません」とか表示されます。
dlnaで画像ファイルに対してのみ行わなければならない設定があるのでしょうか? >>417です。
拡張子はJPGで、SMBでは当該フォルダに表示され、閲覧も可能です。
試しにPhoto Stationをインストールしてみましたが、画像ファイルはみつけてくれません。また、Photo Stationからアップロードしてみましたが、アップロードが完了後も何も表示されず、当該ファイルはSMBでは表示、閲覧可能です。
インデックスの作成は完了してます。 フォルダ指定はしてます。
動画、音楽は大丈夫なんですけど、写真だけがダメなんですよね。 拡張子はJPGだけど中身はPNGな物体がメールで送りつけられてきたりするんだけど
そんなファイルになってるわけでもないの?
あとは機器側だとか特殊なJPGだとか dlnaで画像ファイルのみ表示されない件、解決しました。
サムネイル生成を無効にしていると、何も表示されないようですね。
ファイル名すら表示されないって、どうなんでしょう。
なんか納得いかないけど、サムネイル生成を有効にして運用することにします。
お騒がせしました。 >>414
もちろん全共有フォルダに権限を与えています。
https://i.imgur.com/z6FBTvn.png
それでも削除できません。 QTSのファイルマネージャーからはadminではないユーザでも削除できるのでwidows側の問題かな?と思ったのですが…。 Publicの中にあるものだとして自分なら
pushd /share/Public
sudo chown -R newuser:everyone ./* >>427
それ紛らわしいよね、Video stationでもライセンス購入しないとH.265のサムネイルが生成されないから
ファイル自体も表示されなくて混乱した >>428
自分も、別のadminアカウントを作って、元のadminを無効にしたら、出来る事が限られて困ってたんだよね。
休みに入った事だし色々調べた所、「権限設定」の所の「共有フォルダ」の「高度な許可」で、「拡張フォルダー許可を有効にする」ってのオンにして下層のフォルダまで権限設定をすれば良いのかな?
今それをオンにしてみたが、適用に時間が掛かってる。 >>430
最新にしてたから、影響なかったのか…(笑)
不具合多いと最新にするか悩むが、こんなことあるなら、常に最新だな。 HBS 3 Hybrid Backup Sync 3.0.210411
( 2021/04/29 )
[Applicable Models]
- End-of-life NAS models running QTS 4.3.3 or 4.3.4
[Important Notes]
- This is a security update for end-of-life NAS models running QTS versions 4.3.3 and 4.3.4.
[Security Updates]
- Fixed a security vulnerability.
https://www.qnap.com/ja-jp/app_releasenotes/list.php?app_choose=HybridBackup 今回被害は受けなかったけど、とりあえず新しいファームウェアにしておいた。
基本常に最新にしておくほうがいいね。 QNAPは最新ファームは様子見がデフォだと思ってたけど今回を機に自分も常に最新にしようと思った。
ファームの不具合食らったほうがマシだわ。 4ベイのnas(453d)を購入したのですが、raidについて相談です。
過去のスレで3ベイを使ってraid5、残り1をシングルで使っている方がいたのですが、
すべてraidにせず、例えば、raid1とシングル2などのほうが良いのでしょうか?
それとも、4ベイすべてを使用してraid5,raid10のほうがいいのでしょうか? >>439
使い方も決めずに4bayNAS買ったとか意味不明
こーゆーやつが今回被害に遭って騒いでるのかね まさか常に最新のQTSを追いかける日が来るとは... >>442
意味不明で申し訳ないです。
raidについて皆さんがどのような運用をしているのか
参考にしたく、このような質問をした次第です。 4ベイすべて使ってRAID5だよ。それが当たり前だろ。 >>439
4bayならRAID5がお勧め
6bay以上ならRAID6
個人の感想です 俺はRaid5のrebuild失敗したことがあるので、Raid5なら4bayだろうからRaid10にする 用途、重視する点、環境、好み、気分、好奇心、出来心その他諸々で
管理者がどうしたいかを決めるもんじゃないのかな 自分の使い方で必要な容量と冗長性次第なんだから人に聞くことではないな qufirewallのローカルネットワークのルールを間違って無効にして接続できなくなった
ネットワーク接続無しでfirewall無効にできないかな
機種は453beです >>439
あえて言うなら、サルベージはしない前提で考えるってこと。
RAIDでカバーできない障害があったとき、サルベージ業者を頼みたくなるかも
しれないが、そんなに大切なデータなら普段からバックアップを取っておけと。
だから、RAIDのタイプによってサルベージのしやすさが変わってくるが、それは考慮しない。 QNAPスレ初心者しかいねーのか
RAIDでサルベージどうの言いだしてるやんけ TS-128のワイ、低みの見物
NASのデータが重要度が一番低いバックアップだからどんな攻撃にも無敵でワロタ RAIDでサルベージはちょうどホットな話題だからね。 RAIDレベルの設計を考えるときはRTOとRPOの違いを調べた上で自分だったらどっちをどれくらい譲れるか考えると良いよ。
どっちも違うものなのに似たようなところがあるからそれを同時に天秤にかけようとして難しくなる。
自分はRAID1とシングル1本でシングルは週次でバックアップしてる。
と言ってもメインは一眼レフの画像だからSDとPCとRAIDとシングルとで四重持ちになっちゃってるのはもったいない感じするけど。 >>451
多分以下の方法でイけると思うんだけど、OS起動からアプリ起動まで数分のタイムラグがあるからその間にアプリを削除する
NASを再起動→ビープ音2回→QTSで認識されるまで待つ(数分かかる)→認識されたらNASに接続(接続できるまで1-2分かかる)→即アプリ削除
コレでqufirewallじゃないけど設定ミスってQTSに認識されないのを何回も復旧できたよ iPhoneの新しくなったQfileアプリってどーやってログアウトすれば良いの? ランサムの被害はなかったんだけど連休ということもあってちょうど自宅の環境を見直し始めたらbuffaloのルータのファームウェア更新が来てたわ。
外部接続はVPN使ってたことと機種が古くてHBS3に対応してなかったことで助かった。 HackerNewsに乗ってたよ。
HBS 3 Hybrid Backup Sync 16.0.0419は、
> "pwd_plain": "walter"
> "admin_pwd": "walter"
というパスワードがプログラムコード内に直接コーディングされてるって。
で、なぜwalterなのかというと、Walterとは恐らく
QNAP Technical ManagerのWalter Shaoのことだろうって
多分、開発中にハードコードしていたパスワードを公開する際に
消すのを忘れたんじゃないかな >>452
ありがとうそれで行けました。
QuFirewallというアプリの問題だからネットワークのリセットでは駄目かと思いこんでた。
考えてみたらアプリは単なるUIだから試せばよかった。
サポートに問い合わせて一週間近く応答なかったからここで聞いたんだけど、その直後にサポートから同じ回答来てた。
今日本語の対応時間かかるから英語でよろしく、だって。 >>459
ありがとう行けました。
ここで聞いてもサポートいけと言われると思ってサポートに聞いたけど時間かかったから最初からこっちで聞けばよかった >>461
ちょうどBaffalo無線ルーターも権限昇格とかのセキュリティホール見つかってたからな qufirewallってdownloadstationとかtransmissionで海外からダウンロードしてるファイルとかも弾いちゃう? >>463
参考までにどんなフィルターにしたらつながらなくなったか教えてくれない?
>>468
弾く >>469
やっぱ弾いちゃうのかー
仕事柄海外鯖から並列でダウンロードすること多いから怖いけどfirewallオフにするか… woooのivdrに録画したデータを退避したくてqnap nasを物色しているのですが、
alexonとか他社のnasをqnap化した機体でも、
対象機種化であればsmedio dtcp moveは導入できるのでしょうか?
smedioは有料っぽいんですが課金方法が調べても分からず、
シリアル番号管理の課金だと無理かもなあとか考えています >>470
使うポートを除外すれば大丈夫だよ、相手先も国別で指定できるし >>469
もとから入ってたローカルネットワークの許可設定を消した
なんで消したんだろう自分でもよくわからん… >>462
Shaoちゃんのミスでこんな大騒ぎになったんか
舐めてんのか >>473
ありがとう、自分も気を付けるよ
事前に確認できないから30秒間だけ有効するテストモードとかがあるといいんだけど >>462
walter/walterは
scott/tiger並みに一部で流行りそう HBS 3 Hybrid Backup Sync 16.0.0419の中には
Walter ShaoのメールIDもハードコードされてるってさ
しかも2つ
この調子だとQNAPのソースコード流出とか、
QNAPの会社のサーバーがランサムウェアに犯されるという可能性もあるかと いつかランサム入りのファームウェアが配布されそうだな とりあえずファーム上げてアプリも最新バージョンにしとけばひとまず安心して良いんだよな? TS-220だとHBS2しかインストールできないから、このマルウェアに関しては被害を受ける事はなかったのかな ファーム上げたけどAdvanced Network Driverのインストールに失敗したようでQNAPのサイトからqpkg落として手動でインストールしたんだけど上手く動作してない
DNSサーバーに繋がらないみたいで各種サービスがうまく動いてない
これ、うちだけの不具合かな? 色々アップデートしたらqumagieが立ち上がらなくなったからここで訊こうかと思ったけど再起動したら治ったわ ただのファイルサーバーとしか使ってなかったからファームウェアのアプデついでに初期化したんだけどさ
パスワードの最小文字数変わった?
Windowsのローカルアカウントと同じにしてたから微妙に不便… 外部バックアップしてて助かった。
っていっても先週のデータまでだけど。 今回のQNAPの不祥事は、多機能さや便利さを追求し続ける事の難しさを露呈したな >>481
Malware RemoverとSecurity Counselorのインストール >>488
関係ないしっょ
>>483 ←この間抜けな作りのせいだわ
これからは改善されると思うわ ランサムにやられちまっただよ4/24に
中途半端に2割くらい書き換えられた
その2週間くらい前にバックアップ取ってたから全部復帰できたけどどうやって侵入されたんだろ >>496
>>395
QNAPは過去のアプリの不具合の出方からして、アプリのチェック体制が
追い付いてないんじゃないかって意見がフォーラムでも多数出てたな。 BIOSですらロクなチェックしてないからね。
高負荷テストとかやってない。 QLOCKERの被害にあいました。初心者です。
いろいろな書き込みを見てやってみたのですが、7z.logファイルは見つからないので、
復元は諦めて被害にあったフォルダはクラウドに取っておいたバックアップから戻そうと思っています。
HBS3はファームウェアが古いからだと思うのですが、更新ができなかったので削除しました。
ファームウェアの更新をしてから、最新のHBS3を入れて、被害にあったフォルダを作り直してファイルをクラウドからコピーしようと思うのですが、サポートからの返信がまだなく、再起動を避けるためファームウェアの更新がまだできていません。
このままサポートからの返信を待つべきなのか、返信があったとしてもおそらくダメなのでファームウェアの更新をするか迷っています。
どなたかご助言いただけると嬉しいです。 直ぐ使う必要がないのなら準備だけしてそのまま待てば?HBS3もまだ怪しいし。 やっぱりQNAPは上級者向きだわ
ダサいバグ残してたために
ランサムとかとても怖くて初心者にはムリ ここ最近連発してるしその手の輩から目を付けられ易いハードと言う事は再認識された。
ある意味鍛えられてトレーニング向けかもしれない。 Videostationは終了なんかな?
CAYINとかいうのを入れろと言われるし、
フォルダ監視のトランスコードも動かなくなってる。 すまない。
VIdeostationの件はQTS451からの仕様なのね。既出失礼しました。
フォルダ監視の件はCAIYNインストール前からあったトランスコード前のファイルは
CAYINのフォルダ監視には追加ファイルとして受け取られないってことのよう。
実際にプレイヤーとしては使ってないからどうでもいいんだけど、
CAIYNのプレイヤーアプリとしてのダメさはVideostation以上だね。
PCの動画プレイヤーみたいなのはないんだろうか。
Webでストリーミングさせてる以上はある程度仕方ないのはわかるんだけど、
それでもひどいと感じる UI見ただけで汚くて使いたくなくなるからな 使い勝手も悪いし
トランスコードのためと割り切るしかない firewallの拒否したパケット、どのポートから入ってきたとか詳細って見れないの?
気になるんだけど キャプチャしないとわからないよね。直近、1000パケットとか記録してくれたらいいのに。 ルータレベルだとここ数日はtcpの23,6379,22,80,443辺りが人気
3-4月半ばは群を抜いて123/udpが人気だったんだけど移り変わるもんらしい V6プラス使ってると普通使えるポート全部死んでるからポート狙われるときは安全
意外と使えないサービスあって泣けてくるけど
まさかfusion360が使えないとは思わなかったわ デフォルトから変更できるポートは変更した方がいいね adminも切ってる、UPnPもOFF。
8080も他ポートへ変更済み。
にも関わらずランサムウェアに感染。
これHBS3のハードコードで間違いなさそうやね。 myQNAPcloud使ってて8台登録
その中でやられたのが1台(ts253Pro)
253の中でもadminでのアクセス権限がない領域だけやられた。
そしてそのQNAPのルーターだけIPv6がオンになってた。(ルーターはNUROのF660)
それとになるのがやられている最中だと思うが夜の2時くらいに外部から253に接続できないので会社に行ったらNUROのルーターが2台とも点滅して使えない状態だった。
そしてts253Proがぶら下がってるルーター以外にもQNAPば接続してるけどそっちはやられていない。
それとバックアップの同期で暗号化されたファイルで置き換わっていたので結構めんどくさい。
みんなの参考になれば HSB3が15.1以降にアプデできないのがある
ファームはQTS4.4.3
最新の4.5.3入れる勇気はないなぁ ハードコーディングされていたのはHBS 3のバージョン16.0.0419だけだったのかな
それとも以前のバージョンからずっと含まれていたのだろうか tcpdumpを入れてみたけど毎秒ごとに個人情報がネットに送られているような感じだな >>517
今回のHBS以前の問題のような・・・
synologyはどうなんだろう?>個人情報送信 512のケースはインターネットから到達可能でポートスキャンでやられたのかしら?
また、513のケースはIPv6のパブリックIPだから到達出来たという事なのかしらね。
とにかく到達出来てしまえばハードコードされたID/パスでログインされてしまうように見えるね。 上級者というより、グローバル企業は元々個人情報保護の概念が希薄って印象を受ける >>512
それでもやられるのか。参考になりました。ありがとう。 今のところ被害がないけど、セキュリティ/許可・拒否リストで
「リストからの接続だけを許可する」を選択して、リストには
ローカルなデバイスのIPだけを書いているから? こんな中、別件で申し訳ないがv6プラスの人教えて!
ドコモ光のGMOで契約してまして、ルーターをバッファロー製の新しいものに更新したらipv4だけが死んでipv6のみになり、IODATAのルーターにしたら頻繁に途切れて、elecomのルーターにしたら同様に途切れて、今現在NECのルーターにしたら何故か調子いいです。
調子が悪かった3つは全てNASの電源を落としていたら問題なく通信できていて、NASが起動すると不具合が発生します。
なお、pppoeに戻したらクソ回線ですが通信はうまくいきます。
v6プラスの方で同じ現象経験したことある方いますか?また対策等ありますか? TS-473A、販売元Amazonで出てますね。
\125.720
納期1〜2か月 >>525
ネットワーク関係の設定を見直せとしか、DHCPとか
ipv4だけが死んでとか言われても意味が分からない >>525
IPv6プラス契約してて一部のサイトしか見られないなら、IPv6プラスじゃなくIPv6のみの接続になってる
メーカーにもよるが、PPPoEの設定消した上でIPv6プラスの接続設定してやらないとIPv6プラスでの接続にならない
ヤマハのルータではIPv6プラスとIPv4(PPPoE)の両方で接続できたりもするが、それができるのはヤマハなど一部のメーカーのルータだけ
外部からのアクセスが上手くいかないって話なら、IPv6プラスだとIPv4接続のときのポートが使えないからルータでIPv4と同じ設定のポートフォワードしても外部からQNAPには接続できない
デフォルトポートから変更不可なサービス以外はIPv6プラス用の設定をちゃんとやってやれば使える
設定の仕方は検索すればわかる >>531
ありがとう
外部からの接続的なことで言えば、割り当てポート指定してopen VPNで出来てます。
プロバイダに確認したらちゃんとv6プラス接続自体はできてて、実際pppoeの設定も入れてないが何故かipv6サイトは見れて他は見れない。
Buffaloの技術部門の人がラボにqnap実機持ってて検証してくれて、この状態が再現できたがまだ原因が分からないとのこと。
もちろん、DHCP含め設定見直したが好転せず。
あたりつけたいので同じ状況の方いらっしゃったらと思って >>520
513です。レスありがとう。
ほかにもウチのファッションビルに入ってる店も攻撃されてた。(マルウェアリムーバーが防いでた)
そこはNTTとの個別契約だけど館内のVDSL接続なのでIPv6だけが原因じゃないね。
あとIPv6閉じてたQNAPも死にかけててシステムにログインできない感じなので原因ははっきりしない。 >>533
VDSLとIPv6接続は関係ないじゃん これバックドア仕込まれてたんじゃないの?
Malware Removerが127.0.0.1 MR2102消した。
とログにあったけど、どうやって入った来たんだ? 症状としてはMAP-Eの変換が上手くいってないんだろな。
ひかり電話用のHGWとかかりてそっちでMAP-Eの変換させればええやん PHPの脆弱性が狙われたんじゃないかって言ってた人いたな 今回ランサムにやられてはじめてこのスレに来たけどもっと早くから見ておけばよかったな
ある意味多機能すぎるんだな >>535
マルウェアじゃなくて脆弱性のあるファイルを消した、じゃないの?
本当なら暗号化済みだよ。 >>525
buffalo WSR-5400AX6 ファーム Ver 1.01
@nifty光 v6プラス NDプロシキ
QNAP TS-453Be QTS 4.5.2 build 20210302 → 4.5.3.1652 20210428
元々ルーターの調子が微妙で時々再起動する必要があったんだが
昨夜QTSの更新してからWANの接続がおかしい&ルーター再起動してもしばらくすると不安定になる
>525見てまさかそんなと思いつつTS-453Beの電源切ってルーター再起動かけたら復旧したっぽい
午前中ずっと問題なくて昼イチでNASの電源入れたらまたおかしくなった
うーん まさかそんな
今後の対策はさておき当座復旧するには手動でQTSダウングレードしないとあかんのかな
ちなみに調子のいいNECルーターの機種名教えてもらっていいでしょうか? >>541
wg2600hp2は安定してるほうじゃないかな。 LAN内でNASが起動しているとルータがおかしくなるという話は前からあって、
何年か前はNECのルータをBufffaloに換えてみろってのが対処案のひとつだったけど
最近は逆なのか。 >>538
売るために多機能化するのはライバルメーカーもあるからある意味仕方ないけど、
アプリの乱発で開発側のチェックやテスト環境がついてってないのが問題だろね qufirewallのイベントのキャプチャーした結果ってどこで見れるんでしょうか? すいません ファイル保存できるんですね 解決しました 複数台のQNAP機でsmbマルチチャネル組んでるんだけど、smb使ってNAStoNASでbackupしてくれる方法って無いの? 今469Proを使っていて、ファームは4.2.2です。不用意にあげるとバグに巻き込まれるとかこのスレで見ていたので、ずっとそのままにしてました。今回のランサムウェア問題では被害は受けていないようなのですが、最新のMalwareRemoverは動かないみたいですし、この際最新ビルドに上げた方がいいのかと思ったのですが、安定しているならやめておいた方がいいでしょうか? >>549
SMBクライアントがマルチチャネルをサポートしてるとは限らないんでは?
Linuxカーネルでの実験的サポートは5.5で入ったようだけど >>550
469Lで4.3.4(最新)だけどなぜかMalwareRemoverがインストールできないという事象が発生して困ってる
おま環なのかもしれないけど、他にもそういう人がいるならMalwareRemoverのためにアップデートするのは得策ではないかも
ちなみにファームウェア自体は特に目立った不具合もなく安定してる >552
ありがとうございます。今まさにOKボタンを押す直前でしたw アプリは感染してたか知りたいために入れるつもりでしたので、他に確認方法があれば無理して入れるつもりはなかったのですが、ここまで来たのでファーム更新してみます。とりあえず外に出る設定になっていなければランサムウェアにやられなさそうだったので。 2.5GbEに惹かれてTS-253Dを購入しようとしたらこのスレ見て買うのを躊躇ってる。QNAPはセキュリティやばそうだから、2.5G諦めてシノにするか。 >>554
単にこのスレが馬鹿ばっかだからそう見えるだけだぞ >>555
みんなすごい訳ではないがQlockerにどういうルートでやられたかもはっきりしないしIPv6との関係もよく分かってない。
なのでQNAPユーザーではなくQNAP作ったやつがアホな可能性もある。 >>533
520です。死にかけてるのはポートスキャンや執拗なログインの繰り返しでリソース不足に陥った可能性もあるけど、ビジネスでQNAPを使ってるんであれば、HBSとマルチメディア系サービス、QNAPCloud、IPv6の停止を含めて最低限のサービスに縮退(徹底的にサービス停止)して運用継続するしか無いだろうね。また、業務要件が許せば、QuFirewallを使い、ローカルからのwebアクセスを除き徹底的に内向きのパケットは止めて、QNAPからの安全宣言を待つしか無いのかも。事後対応など企業としてのスタンスは良く見ておく必要がありますね。 >>550
同じく469Pro(Raid6)でファームは半年〜1年に一回位、アプリは1〜3か月くらいで確認/更新してた
今は最新で 4.3.4 1652(2021/04/13)、Mal 3.6.0.2、HBS3 3.0.210411で問題なく稼働中
毎日自動起動の231P(すべて最新)にHBS3でバックアップ、mycloud使わず外には開いてないので
今回の被害はなし
更新するか否かは自己判断だと思うけど参考になるかな? HBS3にハードコードされた「walter」というバックドアアカウントでNASに侵入
NASに到達するまでの侵入経路は、皆同じなのか、それぞれなのか未だ不明
現状、Malware Removerやアプリの更新で対症療法するしかない
これであってる? 侵入手口や経路はもう分かってるだろうに、対策のために具体的な発表するどころか、お前らのセキュリティ対策がなってねえんだよ的なコラム送ってよこしやがったからなw あってる、CVE-2021-28799が公開されるまでは安心できない 外付けドライブのバックアップにはうちのは影響及んでいなかったけどバックアップそのものも7z化された人もいるのかな >558
ありがとうございます。すでに更新してしまいましたが、QSnatchにやられてました。。外に出していないつもりでしたが、数年前に出しちゃってたみたいでした。目に見える被害はなさそうでしたが、セキュリティ関係の設定を変更して今ひと段落してます。返答してくださった方々、ありがとうございました。 ハードコードが原因て確定したら補償とかあるんかな?
多分使用許諾で回避はしとるやろうけど世間は納得せんやろ >>549
俺も知りたい
なんとか使えないものかね >>565
日本企業じゃないんだから世間じゃなくて法律でどうかじゃね?
法的に問題あれば集団訴訟でも起こされかねないが >>563
>>513 です。
バックアップもやられました。 直近の22時から23時までの間に377パケットのアクセスが拒否されたとQuFirewallに出てるけど、皆さんどれくらい? >>568
バックアップを常に繋いでおいたら、落雷の時とか終わる >>569
自分のところは、21:58-22:58でIPv4が73、IPv6が0。毎時間、だいたい70〜80ぐらいで推移してる感じ。 >>569
いつもと変わらないな
100〜150の範囲におさまってる 皆さん少ない?みたいで、ウチだけ異常に多いのは気のせいかな。取り敢えずファイヤーウォールの設定みなおしてみることにします。 ところで8080の代替って1024以降で特に使ってない番号なら何番でもいいんでしょうか?
本当大変です! >>574
うちはv6全ブロックしてて、つい最近まで20くらいだったのが70前後に増えてきてるわ。
vpn用のUDP1ポートだけ開けててこれ。 今回のインシデントで、NASを本来のNASとして以上に使うのは不安になってくるな。
ASUSやSynologyもネットワーク機器をリリースしてて、多機能っぷりやコスパで好評だと思うけど、大丈夫なんだろうかと思ってしまう。 >>581
本職ではないからな。
何も心配しない阿呆よりはマシだとは思うが。 嬉々として馬鹿連呼する 8e- 君
相変わらずの語彙ですね うちはqnapとsynologyのnasつかってるが、外から入ってくる用途はGWFW(Fortigate)に切り出しておいたお陰で助かった。
それでも内側からセッション開始するようなモノはどうにもならんけど、セキュリティは別にしたほうがいいと思う。 牛ユーザーみたいな馬鹿ばっかになってる。何でかね? 中途半端な知識、それも低レベルの頭の弱い人に広まっちゃってことだろう このスレ見ても頭の弱い人だけ被害にあっている感じがする
よくわからないまま何も考えずに公開している
ドアの鍵を掛けないどころか、ドア開いておいて泥棒に入られて大騒ぎ >>584
Fortigateは日本国内からのみ接続可にしてるって事?確かにQNAPのvpnを使っていてもwalter/walterで入られそう(証明書必要だから大丈夫なんだろうけど、今回の件で全く安全に思えない) >>592
>Fortigateは日本国内からのみ接続可にしてるって事?確かにQNAPのvpnを使っていてもwalter/walterで入られそう(証明書必要だから大丈夫なんだろうけど、今回の件で全く安全に思えない)
FGのSSL-VPNだと証明書使うんだけど、やっぱり脆弱性あったりするのであんまりお手軽じゃないけどIPSec/L2TP使ったり、第二要素(メールによる乱数送付だったり自分の場合は機器に付いてきたおまけのソフトウェアトークン使ってる。家用だからね。)を使ったり、日本国内に制限したり、LAN側で使えるプロトコルを制限したりしてる。
NASのデータも大事だけど、家の中で変なデーター分撒かれても嫌だしね。 >>512
これを見てバカが感染とか知識のある奴が大丈夫とは言えないな。
うちも8拠点のうちやられてるのは全部ipv6
ただし中にはhome(何も入ってない領域)だけやられたのもある。
あと古いファームの古いQNAPは全く感染してない。
というかHBS3入ってないのは感染してない。
というかNTTの230NEとかv6切り方が分からん! >>593
つ ttps://flets.com/customer/tec/square6/setup/router_v6set/rv230ne_v6set.html >>593
ありがとう。外からアクセス必須な場合は当面ルータかFirewallのVPNで守るしか無いね。 >>551
確かに。外のwindows機とかを使うしか無いのかもしらん メーカーがどんなポカやっててもユーザーサイドできちんと対策してれば避けられるって言うのは確かにそうかも知んないけど
そのきちんと対策の要求レベルがそこそこPCに詳しいであろう一般人の知識レベルを軽く超えてるのに対して
QNAP側の脆弱性がハードコートという限りなく人為的なポカだったのがな
まあ今ここで被害報告多いのは元々いたスレ住人の被害率が高いわけじゃなく
食らった人が情報探して集まって来てるからだろうけど >>595
これファームが古すぎて参考にならない。
4番目の画像の「IPv6ブリッジ 使用する」のチェックボックス自体ない ファーム更新して再起動したら外向けネットワーク見れないと警告出て、緊急時とは言えQNAP割り切りすぎだろと思ったら
DNSを127.0.0.1にされてただけだった 昨夜の569です。
QuFirewallのイベントキャプチャー試してみて中身を見てみたら、ポート6881へのアタックのオンパレードだったので(ドイツとか様々な国から)ルーター側で拒否設定してみた、
とりあえず様子見してみます。 >>602
bittorrent使ってもないのに… どうせDownload Stationインストールしているんだろ? >>604
ご教示ありがとう、速攻アンインストールしました。 なんかさnuroもnttもauも外から普通に8080でアクセスするとQNAPのログイン画面出るね。
なんでルーターの外側に堂々といるの? ダウンロードステーション(というかQNAP単体)でファイルをダウンロードしようとしたら、毎回QTS開いてダウンロードステーション開いて…ってしないといけないんだよね?
ダウンロードキューを自動でQNAPに送れるソフトでもあったらいいのになあ >>606
UPnPで勝手に開いてるんじゃないの? mysqldがcpuを2,30%程度使うようになってしまった、なんだこれ? ネットワークを10GbE化したんだけど、一台の端末から500MB/sぐらいで連続的に書き込みをしてると他の端末のSMB接続が強制的に切断される事があるんだよ
これって書き込みの処理に手間取って強制切断されてるのかな?
1GbEの時はそんなことならなかったのに
TS-1273U-RPで10TBx12本のRAID6で
クライアントはMacで5台接続 qgetリモート、まだ120円で売ってるけどもう動かないのな
詐欺やんw ポートを8080、443の両方を同じポート番号にしたらアクセスできなくなったよ。
こういう時にどうすんの?
しかも今古いマックしかなくQFinderが起動しない。 >>614
ありがとう qgetはもうNAS側のアプリが存在しないのか…
同じようなことできるNASもなさそうだし諦めるしか無いか >>616
そう
書き込みしてる端末以外のMacでマウントしてるリモートディスクが外れるんだよ
読み込みはいくら負荷かけても大丈夫なんだけどさ 今自作PCをファイル鯖にしてBitlockerかけてファイルをバックアップしてるんですが、
これをNASにしたときの利点って何があるのでしょうか? >>622
ありがとう。
遠隔地だったので、警備のおじさんに頼んでリセットボタンをしてもらった。 >>621
・省エネで電気代が少し安いかも
・一応電源関連が24h/365dという体
・専用筐体でコンパクト
ただし分解してみた感じ、少し高めのPC電源の方が品質は高そう。使ってるコンデンサ日本製とか高いやつはだいたいそうだしね。
ぶっちゃけPC鯖構築が屁でもない層にはダウングレードしかならないので、そのままでよいと思う。
面倒ごとはすべてNASになげられるという箇所において、そこにメリットがないならPC鯖で。
わいは鯖は鯖で、NASは完全に家族用と二次バックアップ先として使ってるよ。 >>624
自作でdtcp-ipムーブできれば既製nasなんか使わないんだけどって俺には利点 >>625
ああなるほど。自分はそれ使わないから思ってもみなかったけどたしかにそれもあるねー。 >>621
小型化とホットスワップのし易さ程度しかないと思われ >>619
とりあえず最新ファームで、くらいしか思いつかない。。 NASを個人用の小型linux鯖として使おうとしています。HDDが最低2台使えること、dockerで自作アプリが動くことが条件です。ノートPC・デスクPC・タブレット・スマホのデータを集約し、データ共有と管理を簡単にしたいのです。
現在の製品ラインアップを見ると453Dがデザイン・性能・値段の観点で優秀に見えるのですが、ARMの431K/P3でも困らない気がしています。自宅に2.5gbe環境はありませんが、体感速度が大きく変わるなら将来的に投資してみてもいいと思っています。
1) 453D
2) 413P3
3) 413K
4) それ以外
5) NAS以外の方法
おすすめはどれか、参考意見をお願いします。NASを買ったことはありません。 >>630
技術力があるなら4。
ECCメモリに対応したNASを自作する。 TS-212P使ってるけど、ファンの音が最近特にうるさい。
リビングに置いてます。うるさいだけでなく熱でHDDも心配。
ずっとではないけど累計で1日の1/3くらいはブオーンと回ってます。
設定でなんとかならないか調べてみたけど、いい方法が無いみたい。
あまりにうるさいので買い替えを考えてるんだけど、
QNAP TS-231K
Symbology DS220j
のどちらがお勧めでしょうか?
静音性の観点からお願いします。 部屋の温度をさげる工夫をしたほうがいいんじゃない? >>493
パスワードのポリシー設定あったわありがと! ts-469proなんだけど、hdd互換リスト見ても6tbまでしかない
8tbドライブ食うかな? >>625
使ったこと無いけど PC TV Plus で出来るんでないの? >>630
用途によるけど431Kはメモリ増設出来ないのでdockerは厳しい。VMとかdocker使いたいならintel機でメモリ増設必須と思った方が良い
QNAPのdockerは十分実用にはなるけど、本当に凝ったことしようと思うと面倒になるので、お勧めは中古のQNAP買って使ってみて合わなければ売る事だな。それか自作 >>635
その世代は最大ボリュームが16TBなので、8TB HDDがサポートに入ってないんじゃ? >>637
ありがとうございます。まずは中古でお試しするのはありですね。 PC TV Plusの方が汎用性高いよね
コレやシノは一方通行 >>624
>>627
ありがとうございます
鯖の電源はかなりお高いやつ使ってて、ホットスワップもケースに11スロットあります
何かNAS固有の機能的にいいのかなと思ったけど、やっぱりダウングレードになってしまうんですね…
スペース的には正直NASの方が良いとは思いますがここは我慢してこれはこのまま運用しようと思います 469proは8TB乗った記憶がある。
公式対応外容量の確認の意味を込めて東芝のMD05ACA800を載せたような。
ただしトレーのネジ穴がヘリウムや8TBドライブで出てきたネジ穴に対応してない。
きっちしシステムをセットアップして運用したわけじゃないから確実とは言えんが、
容量も普通に認識してたはず。 469にヘリウム8TB×4でRAID10運用してるけど全容量認識してる
ネジ穴は4本中2本だけ合うので固定できないこともないけど、若干共振には弱くなってそう >>632
ウチのもうるさくなってきて放置してたらファンが故障
どうせならと分解して掃除とファン交換してみたら復活したよ >>642-643
ありがとう
容量増やす目処立った
>>638さんの言う16TB制限てあんの?
スペック見ても書いてないし
3bitQTSの壁? >>646
ああすまん。俺の間違いなようだ
ttps://forum.qnap.com/viewtopic.php?t=160204&p=783541 大昔、16TB超えるためのアップデートがあったような無かったような。
>>647
スクラッチからだと出来るってあるね。そういえば一旦初期化しなおした記憶も。 これかな
ttps://www.qnap.com/ja-jp/how-to/knowledge-base/article/16tb-storage-limitation >>649
ああ、そうそう。俺の知識が古かったんだな。ありがとう Dropboxの替わりにしたいが素人故にセキュリティ面が怖くてずーっと躊躇してる >>651
素人だけどDropbox代わりに使ってる
firewall入れて、元々ある管理者アカウントを無効にするだけでかなり違うよ >>652
確定しないというか公表しないでしょ?
模倣犯出るから 一つ言えるのは、基本的に最新版のアプリとファームを入れておけってことじゃない?
ファーム更新は慎重にしろとかいう風潮があったけど、実際は文鎮化ファームなんて存在しない。
確かにバグ入りもあったけど、実害なんてほぼ無くて、データ消えたりすることも無い。影響あるのはすぐに直るしね。
機能の追加/更新のみ場合は少し見送っても良いかもだけど、ファームもアプリもセキュリティ更新は適用するのが吉。
模倣犯防ぐためにも原因は公表しないと思うが、確実にセキュリティアップデートでは対策されているでしょ。 >>655
ホントそうね、アップデート慎重派だったけど多少機能に不具合があっても最新状態にしておく方が良いわ。 それはそうとAmazonフォトのHBS3からの同期って4月30日で出来なくなるんじゃなかったの?
まだ出来てるよね?? 4ベイ導入で予算の都合でまず2ドライブをシングルで使って容量稼ぐ
で、将来3ドライブ目追加した時にRAID5に移行って可能? 512です。
信用ならないのでNETGEARに移行しました。
453Dはサブネットで運用して様子見。
FG40F 買ったので、453D繋いでどんな
動きするか見てます。
453DはHDDのみデータクリアして
ファームと各種アプリは古いままです。 やられた人って管理ポートへインターネットから直接アクセスできる環境だった人だよね。 >>662
二段階移行ならいける
容量にもよるが、1週間〜10日くらいかかる気がするが… バックアップディスク買えるなら買うんだけど買えないからの相談って感じだね。
どうしたらコスパ良く回せるかを考える感じかな。
シングル2本がフルに使われるという前提だと3本目のディスクを2倍にして一時退避させても元diskをRAID1に構成したら容量半分だから書き戻す空きがない。
3本目は同容量で4本目に2倍の容量を格納するのが良いと思う。
フルで使わずに書き戻せる程度の容量であればRAID1に書き戻してから3本目の新ディスクをRAID1に追加してRAID5に再構成かな。 HDD容量に余裕があるくらいなら、2個じゃなく最初は1個でやるべき。
2個目を買う金は貯めておいて、金がたまったらHDDを2個買ってRAID5にする。 >>658です
なるほど
最初は8TBを2本と考えてましたが、
ではちと足出ますが、
4TBを4本買ってRAID5を組むことにします
で、将来的に1本づつ8TB換装って感じで
トータルとしてはコスト大ですがw
ありがとうございました
データがWoooでiVDR-Sに録り貯めたDTCP-IPな録画データなんで、
一度nasにムーブしたらバックアップや退避はできないですよね?
空けたiVDRカセット順次売れば資金できそうな気もしますしw
ありがとうございました >>666
シングル1本から2本足してRAID5は可能?
もしくはシングル1本に1本足してRAID1、
また1本足してRAID5って手順ですか? >>668
シングル1本からRAID1は足すのは無理。
RAID1(新規)にコピーして元のディスクを切り離して初期化してからRAID5じゃなかった? >>670
シングルからRAID1オンラインのままでできるんだ! ありがとう
あと一個だけ
DTCP-IPなデータでもRAIDレベルの切り替えは可能?
チョサッケン機能が妨害してできないとかないよね? 素直にバックアップからやれば良いのに、と思ってたらそういうことか。 今更ながらですが、!!!READ_MEファイルがhomes、public、webフォルダ直下に作成されていました。
作成日時は4/21_20:30頃です。
ほとんどの個人的なファイルを保存しているMultimediaフォルダには作成されていませんでした。
adminはNAS導入時(251Dで去年夏頃)に無効化しています。
RemoverとQuFirewallはインスト済みで、MR2102というファイルの処理はされているようです。
Multimediaフォルダに7z化されたファイルはゼロで、唯一7z化されていたファイルはWebフォルダ直下のindex.php.7zです。
この状況はセーフでしょうか?? 録画データは牛NAS、PCデータはQNAPで管理してる >>677
まじですか。今後暗号化されてしまう可能性があるということですか?
今の所問題ないのですが >>676
ある意味セーフかな、あとやることは
すべてのアプリを最新版にする
ルーターのUPnPをオフにする
ルーターのポート開放の停止
myQNAPcloudの利用停止
QNAPでUPnPの利用停止
Qufirewallで海外からのアクセスを停止
管理ポートをデフォルトからの変更
くらいかな >>678
国産nasはムーブアウトもできて便利そうなんだけど、
大容量化できるのないのがなあ >>644
ファン交換しようとして調べたけど、
4ピンのスマートファンが必要らしい。
入手難しそうなので、交換も期待薄かな。 >>683
アイネックスあたりからちゃんと信号生成、コントロールしてくれる変換ケーブルでてるよ >>681
676です。
有難うございます!
諸々最新版にしているのでマルウェアは既に無効化されていそうですが、これを期にNASのセキュリティ考えていこうと思います。
助かりました Qlockerにやられたので公式に書かれている通りサポートに問い合わせたら
「既に暗号化されたファイルに対して、こちらの記事が書いている方法を参考して、
暗号化パスワードを取り出す、あるいは暗号化された前のファイルを復元する可能性があります。」
って↓のURL紹介されたんだけど
https://infinitelogins.com/2020/04/29/how-to-crack-encrypted-7z-archives/
小文字大文字数字の組み合わせで32桁のパスワードってことは
62^32=2.2726579e+57、つまり約23阿僧祇通りもあるってことでしょ
こんなの総当りするのは無理では… >>686
公式のサポートが外部の記事を参照しろっつったの?
ひでーサポートやなw >>686
>>84の通り、解凍パスワードを総当りで解析するのは無意味だね とりあえずQNAPだけで揃えるのは危ないということは理解した >>686
阿僧祇とか初めて聞いたけど天文学的数字でワロタ
那由多は知ってたけど >>685
大事なのは最新版にする事ではなく、インターネットからの接続を禁止することなので
油断しないように(インターネットから接続する場合はVPNで) >>683
秋葉のハードオフで適当にジャンクの4pinファン5個くらい買って3個は元よりうるさかったりコントロールだめだったりしたけど2個は異音もしなくて普通に動いたよ。
全部でも1000円くらいだった。 >>690
おっさんはカールセーガンのコスモスの時のIBMのCMで覚えたw 最近はqsyncしか使ってなかったけどadminと各ユーザーデータやられた
どーしたもんか。。。 >>691
実際NASのバックアップなら同メーカーのNASになると思う >>697
やられたというのはQlockerにやられた?
うちもQsyncだけの体制にしようと思ってるから気になる ハードコードが原因ならそう声明出して、その箇所抜いたファーム出したって宣言してくれればおっかなびっくり運用せんでええのにな
原因うやむやにしてのらりくらりかわそうとしてるからいつまでたってもモヤモヤしたままなんや まだ経路が不明なのか、或いは別のバックドアの存在とかあったりしてなあ。 今回の事象の全てのパッチが適用される期間を待ってからでしょ、普通 大まかに言って、ハードコードって言ってもファームウェアに
書き込んであるわけじゃないからね、念のため QNAP的にはQTSは「ファームウェア」という定義だよ ん?お茶目なもんがポロポロ出てきたのってHBS3でしょ? TS-473AだけじゃなくてTS-673A/873AもAmazonで価格出ましたね。
どの機種も在庫切れですが。
TS-473A 125,720
TS-673A 140,237
TS-873A 159,688 >>699
お察しの通り
qsyncフォルダは無事だかその他は根こそぎやられた >>708
原因と目されているHBS3も使っていなかった(インストールしていなかった)ということ? 話題の脅威に限らず、外向きにサービス提供したらリスクは増大するもんです
UPnP(本来コイツは悪くない)が管理者の知らないとこで便利さを発揮して
自覚のないままに自宅サーバ外部公開中になってる例もありそうな気はします ランサムとは関係ないんだけど
管理ページ(8080)じゃなくてWEBサーバー(80)へのアクセスログってどこで見れる?
管理ページのシステムログから見れるログには無い(ような気がする)んだけど… 新しいファームウェアにしたらNASがネットにつながらないとか出て、AppCenterとかも認識しなかった。
前のファームウェアにしたらあっさりと治ったが >>712
Qulog centerのシステムアクセスログはどう? >>713
どのファームからどのファームに更新したの? >>713
そのエラーはメール通知でしばしば来るんだけど、NASアプリのアプデとかは出来てるからネットは切断されてないんだよな。
でも何か悪い事が水面下で進行してるような気がしてならない。 当分はローカルのみ運用しとくかと切り替えてはや1ヶ月超
3月のencryptと4月の7zipは別の穴なんかね?
同じだとしたら間抜けやなあ >>713
DNSサーバーを見失ってるみたいな感じじゃない?
うちもちょくちょく起こってるわ >>718
再起動したら何事もなかったかのように帰ってくるやつー 久しぶりに覗いたら凄い事になってたのね
マイニングにハマってQNAP暫く止めてマイニング機をファイルサーバーにしてたから難を逃れたわ
そして最近HDDマイニングにハマってQNAPも中身全部バックアップ取って普段絶対にやらない
M.2SSDのキャッシュも含めRAID0セットを多数作ってまた使い始めた >>712
web鯖は使ってないし現代的なver.のQTSだと違うのかもしれないけど
$ grep -n '^ *\(CustomLog\|ErrorLog\)' `find / -name httpd.conf 2> /dev/null`
275:ErrorLog "logs/error_log"
304: CustomLog "logs/access_log" common
$ find / -type d -name apache 2> /dev/null
/etc/default_config/apache
/mnt/ext/opt/apache
/mnt/HDA_ROOT/.config/apache
$ ls -l /mnt/ext/opt/apache/logs/ >>713
うちもqlokerやられて初期化して最新os突っ込んだらdnsがなんちゃらでapp追加できん
再起動してもだめポ DNSがなんちゃらって出てるならちゃんと名前解決してやれよ >>723
ちゃんとDNSサーバー指定しててもその現象出るのよ
ウチは1.1.1.1と8.8.8.8にしてたんだけど全然繋がらなくなってしまってどうしようかと思ってたけどローカルのルーター指定したらなんとか出れるようになった くっそーまたきてやがる
なんなんだ
ネットから外しても書き換え進行中だしMalware Removerにも引っかからん まだ未知の脆弱性があるのかね
QNAPやばいな・・・
怖くてLANに接続できない 金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ >>724
セキュリティ対策で外部のDNSをはじいているのかも
1.1.1.1と8.8.8.8に戻したらやっぱり駄目になる? QTS 4.5.3.1652
HBS 3 Hybrid Bsckup Sync V16.0.0419
Malware Remover V4.6.1.1 最新にしても食らうんですね。怖いねぇ。
自分は大丈夫っぽいけど、アプリと開放ポートの差なんですかね。 さすが自称上級者とそのためのNASだな。
いつまでも不具合含めて試されるNAS
頑張れよ TS-2201RAID1組んでるけどディスク1がI/Oエラーになった。
交換しようと思うけど、ホットスワップで抜いて入れ替えるのはまずいのかな?コントロールパネルからストレージマネージャー開けてみたたけど、RAID管理の項目がグレーアウトしてて選択できないんだ……。
一旦電源落として入れ換え→再立ち上げでいいのかな。ちなみに4TB→8TBへの入れ替え予定です。 とりあえずアプリをすべて最新にしておこう。
インターネットからの接続の遮断もお忘れなく。 WAN接続切って、ローカルだけで使うのってどうやるの? 何となくだけど俺なら外付けでバックアップからかなぁ >>725
変更できるものは全て変えたのだろうか?
adminアカウント、パスワード、ポート、不要なサービスの停止、ルーターの設定、DDNS、グローバルIP
もしかしたら既に他に何か仕込まれてるかも知れんから最悪初期化?
あと書き換えが始まってしまったらネットから切断しても意味ないやん >>736
自己解決。
デフォルトゲートウェイ適当なのにすればいいのか。エラーログ出るけど。 TS-228に4TBのHDD入れて使ってたが、空きがなくなって来たので6TBの HDD購入したんだが、NTT-XでTS-230が18000以下だったので衝動買いしちまった。 最初のマルウェアで対策されるのを考慮して
最初の段階で既に何か別に仕掛けられてないだろうか?
だとするとポート遮断とかでも安心できないぞ
何かをトリガーにして自動的に暗号化開始とかの2段構えとかシャレにならん
もしそうならネットワーク遮断してても時すでにお寿司だな 長文のまとめ
この問題を最初に発見したsecuringsam.comというセキュリティー会社によると、
調査の結果、QNAPにはコマンドインジェクションとSQLインジェクションの脆弱性が
あり、インターネットを通じてアクセス可能なマシンがあった場合、この脆弱性を
利用して外部からAdmin特権を奪取することが可能なことがわかったとしている。
そして、この会社はこの脆弱性を昨年の10月にQNAPに通報した。
ところが、QNAPは通報を無視。そのため、この会社は再度、メール連絡。
しかしQNAPは対応はせず、単に自動応答のメールで返答だけ返してきたとのこと。
その後、最初の通報から3ヶ月程、経過して後で、会社は再度、連絡したところ、
QNAPからは脆弱性が存在していることは把握してるが、問題解決には及んでいない
と返答してきたとのこと。
セキュリティー会社側は、非公開期間が終了したことを理由に3/31に脆弱性の
詳細をブログ記事で公開。
しかし、状況は既に遅く、この脆弱性を付いた攻撃は3/21頃から開始されていた。
ソースsecuringsam.com/new-vulnerabilities-allow-complete-takeover どんなに理不尽でも、免責事項なんだろうよ。ユーザーができるのは「これからは買わない」だけ。 この脆弱性の発見者によると、QNAPのQTSはバックグランドでAdmin権限のコマンド
を/mnt/HDA_ROOT/home/httpd/cgi-bin以下にあるcgiプログラムを起動することで
実行してるらしい。そのため、QNAPのwebサーバーのコマンドインジェクションの脆弱性
を付いて内部に侵入した場合、Admin権限がなくてもcgiプログラムを実行することで
Admin権限のコマンドが実行可能だと言ってる。これが正しければ、QNAPが脆弱性があ
るのは分かったが、修正には及んでないと答えたのはある意味、わかるというか、多分、
そう簡単には修正できるような脆弱性じゃなかったのかもね。というか、QNAPは根本的
な脆弱性の修正には及んでない気がするな。 ソースを見に行ったらターミナルの様子に見覚えのある記事だった
なんでここに触れないんだろう
> Update April 19, 2021: QNAP has released security advisories
> for both vulnerabilities along with new firmware releases.
> We recommend all QNAP users urgently update their firmware. ts-453beです
最初に入ってるメモリが4GBの2Rx4なんだけど、
空きスロットに1Rx8な4GB食うかな? >>713
遅レスだけど、プライマリDNSを勝手に127.0.0.1に変えられてない? ウチは被害受けてないし、公開もしてないから大丈夫だと思い放置してたが、安心できなさそうだな。
ローカル運用にした。 >>724
ファーム上げて外見れないって>>600でDNS変えられたって出てただろ うちはSynologyのルーターだから大丈夫なのかな。
RT2600acはVPNが優秀だから後継機出してほしい >>756
スレチだがわかる。
RT2600acは便利だよね。アプリ少な目だけど。
ただVPNはYAMAHAだな〜。ネットボランチが便利過ぎる。 >>756
家庭用価格でwanが2つ持てるから俺も使ってる JCOMの光は自由にルータ選べない上にVPNも使えないから不便だな
LinuxボックスベースのVPNアプライアンスを設置してるけど >>754
NETGEARは強制的にBtrfsだけどね。 >>714,>>721
試したけどダメだった
でググって解決した。以下に書くけどLINUXとかCLIとかチンプンカンプンの私が書いてるので突っ込みがあったら教えてほしい
/etc/config/apache/extra/apache-log.conf
を作成(テキストファイル)、1行目に
CustomLog "|/usr/local/apache/bin/rotatelogs -l /share/CACHEDEV1_DATA/適当な共有フォルダ/access_%Y-%m-%d.log 86400" combined
を追加、(rotatelogsという機能を使いログを86400秒(=1日)で分割し、access_年-月-日.logで適当な共有フォルダに保存するというコマンド(多分))
/etc/config/apache/apache.conf
を開き、一番最後の新しい行に
Include /etc/config/apache/extra/apache-log.conf
を追加、
/etc/init.d/Qthttpd.sh restart
でWEBサーバーを再起動
これでネットワークドライブから簡単に見れる場所にログが生成されるようになった
CACHEDEV1_DATAは環境によって違うらしいから適当に探す
私はapache-log.confはメモ帳で作成、apache.confはWinSCPでWindowsにコピーしてメモ帳で編集、それぞれWinSCPで戻し
最後の再起動コマンドだけTera Termでやった(PowerShellでできるらしいけど…)
↓以下参考ページ
https://www.tweaking4all.com/forum/qnap-nas/qnap-enable-apache-logging/
https://www.ikushimo.com/news/2017/03/04.html https://i.imgur.com/oAzFppe.jpg
あんな事件の後だけど買ってしまった
アマゾンで3日に予約したら今日届いよ みんなNASどこに設置してる?
ウチは8ベイ2台をクローゼット >>764
メインは階段下収納、サブは各部屋という感じ。 >>765
回りの音がかなりある環境だけどファンは静かだと思う(室温は21℃
HDDはうるさいと評判のMN06を8台入れてるからゴリゴリ音が半端じゃない
多分俺の環境じゃ参考にならないな きのうnasからsmedioのアプリ買ったんだけど、
このライセンスってnasに紐付けなん?
ちなqnap垢は作ってない 自分の親しい人が亡くなったあとにスマホから見えてるコンテンツ容量の軽く10倍は搭載してそうなNASが残されてて管理者権限不明だったらどうすりゃいいんだろ。
逆にどういうカムフラコンテンツを残しておけばそれ以上は探られずに廃棄してもらえるだろうか。
パスワードは頭の中だけにしないとgoogleの二要素認証は死体の指でも指紋認証突破されるかも知らんしな。 ヤバいね
過去24時間に19167パケットへのアクセスが拒否されました >>767
なんかおかしかった
NAS再起動してもちゃんと残ってるよ >>770
スマホやpcのブラウザにパス記憶されてるとかありそう >>764
うちはテレビ台の中。ルーターとか全部押し込んでる。 >>762
先月中頃まで、Synologyから乗り換えるつもりマンマンだったが、すっかり熱がさめた
やっぱりQNAPはダメだわ
大してネットニュースにならないのも
ユーザー少ない証拠だよなあ
Synologyなら影響が倍以上あるだろう >>762
ええやん
ローカル運用なら他のPCが踏み台にされなきゃ大丈夫だろう いや、篠もadmin攻撃の踏み台にされてたじゃん
アクセスしてきたアドレスにポートしてしてみたらDSだったとかで >>770
iPhoneの中にパスワード全部閉まっとけ。火葬前に無理矢理目を開けてとかしないと、解除できない。 >>770
俺は妻に必要なフォルダのみアクセス可能な一般アカウント与えてる。どうせ俺が死んだところで必要になるのはデータだけだし。 >>777
多分その人は総合スレを荒らしてた人
文体が同じ qufirewallで1時間に3000パケットアクセス拒否の履歴あるんだけどこれってやばいの? パケット捕捉モードにしてないとどこから来たのか何にアクセスしたのか分からんファイアーウォールなのがクソ >>770
死んだあとにおまえがゴミくず変態ってばれても別に実害ないやろ
生きてる間なら、それ以降制裁受けるかもしれんが SASカードなんだけどQNAP純正でなく9300-8eみたいなコントローラーが同じもので代替試したことある人いないかな?ファーム違いだとダメか知りたい。 >>775
webメディアはqnapから機材提供されて記事書かせてもらってるからな 旧機種でメモリ最大3GBってのは32bitOSって思っていいの? >>787 思っていいけど
気になる理由が知りたい >>788
中古漁る時の目安に
32bitのはパーティション制限あるみたいだし 中古ならiodataのHDL-Z4WSのts459pro化で勝負だ。 >>541
レス遅れて申し訳ない。
こちらの環境はbuffalo WSR5400AX6 ファームウェア1.01(同じ!)
ドコモ光 GMO V6プラス
QNAP TS-251DとQNAP TS-230
QNAP側の設定はV6プラスの関係上、外部からアクセスするために割り当てポートを色々指定したり細々設定してた。
上に書いてあるBuffaloのルーターに買い替えた途端にIpv6通信のみになったのでシンプルにルーターを疑ったが、
ログを追っかけて症状の発生の仕方に違和感を感じて怪しい機器を個別に繋いで調べていくとQNAP(両機器いずれも)が
悪さしてることに気づく。
試しにQNAPのIPV6を無効にしたところうまくいったがQTSの更新を機に同様の事象が再度発生。
色々やってみたけど解決できず、IOとELECOM試したけどダメだったのでNEC「型番:PA-WX3000HP」
を試したところうまくいった。
まだやってないこととして、QNAPでシステムリセット(or高度なリセット)やったり、プロバイダに
配信再設定してもらうことで別のIP割り振ってもらったりとかがあったけど一旦直ってるので解決としてます。 ちょっとおしえてほしい。
いまQTSのGeForceでのハードウェアトランスコードって何かトラブル出てる?
TS673Aに1050Ti挿してTSファイルをMP4化させてるんだけど、
最近処理が遅いなぁと思って確認してみたら、どうやらCPUでトランスコードしてる状態のよう。
GPU自体は認識しているし、マルチメディアコンソール上でもGPUトランスコードの表示は出ているが
実際にトランスコードを始めるとCPU負荷が大きく上がる状態。
また、GPUのメモリ量や負荷、温度などが0表示でモニタ出来てない状態。
壊れたんなら素直にVGAカードを買い替えればいいんだけど、
念のためポチる前にシステム的なトラブルの話でも無いかなと思った次第。
ランサムウェア関連で慌ててシステム更新しちゃったから
どこを更新しておかしくなったのかもうわからなくなってしまった。
GeForceのドライバも更新したのが悪かったんかなぁ。
ランサムウェアの少し前にcayinのセットアップした時には
キッチリGPU負荷が上がったことを確認したんだけど。 7zのパスワード分からんし、photorec使うことにした QNAP CLUBのところにいくつかQlockerのデータ復旧策の投稿あるね。
海外の人が作ったプログラムのやつとか、ほとんどのデータ回復できたってあるけどホントかな? >>792
関係ないとは思うけど、Video Stationでトランスコード再生しようとするとマルチメディアコンソールの設定で
各ユーザごとにトランスコードを許可しないといけない、アプリを再インストールすると許可のチェックが外れる /usr/local/sbin/7z を消すか、警告メール送るプログラムに置き換えておけば良さそう
実行者を遡って追跡できたらもっと良いんだけど 質問です
2〜5人で共有アクセスするなら、QuTS hero(ZFS)よりQTS(EXT4)の方がいいのでしょうか?
利用されている(された)方の意見を伺いたいです。
特にシステムのCPU使用率・騒音変化等。
現在 TVS-873e QTSにて運用中。サブの869Proが限界に来たんで交換。 >>793
QNAP CLUBにあるブログだと、フォルダ構造含めて回復できるみたいね。
filerestoreってツールがいるみたいだけど。
7zのヘッダー情報がパスワードなしで参照できるなら確かにできるかもねーと思った。 >>795
ありがとう。
確認してみたけど、マルチメディアコンソールから参照できるVideostationの権限は該当ユーザにも許可されたた。
一応adminでログイオンしてもGPUがうまく動いて見えないのも確認した。
GPUは今高いから買いなおしたくないんだけど、
とりあえず生存確認としてPCに差し替えて試してみることにする。 >>796
なるほどNAS内の7zのバイナリ消しちゃえばいいのかw
その発想はなかったけどありだな
実行権限削除してリネームしてパス通ってないところへ移動しておこうかな ねえnasにsshして/usr/local/sbinみたら7zのバイナリの更新タイムスタンプが2021/5/12 2:55とかなってるんだけど…
大丈夫だよな? /usr/local/sbin/7z 1.4KBぐらいのシェルスクリプト
/usr/local/sbin/7z.orig 本来のバイナリ
Malware Removerさんの暗躍でうちではこうなってる QNAPの一番安いやつは
2スロットから4スロットに拡張とかできますか? 特に7z化されたファイルもなく7zのプロセスもなく杞憂だったようだ
取り合えずtgzで固めて変名して移動しておいた >>802
あーマルウェアリムーバーの仕事なんだ
確かにその日次でその時間に動かしてるわありがとう
とりあえずこれで不具合なければ騒ぎ収まるまでtgzで固めたままにしておく >>806
TS-230と色が違うけど大丈夫ですか? >>805
別名.tgz に固めて 7z を消しちゃったのなら May 13 02:55 に
また生成されるのかもしれないw
ともあれMalware Removerさんが目を光らせてるようだということで 勝手に電源が落ちる病が再発してしまった
TVS671にQM2-2S10G1TA挿してNVMe*2で運用、システム系はこちらに入れてる
起動中や起動後でもランダムに電源が落ちる、起動後はそのままだと数時間持つがちょっとでもNAS上で作業すると落ちる(NAS内のファイル操作等)
起動中、起動後問わず落ちる時は正常な手順を踏んで落ちるっぽい、いきなり落ちるのではなく
Qデスクトップ上で突然応答が無くなった後2分ぐらいしてから電源が落ちる
落ちる前はNAS本体のステータスモニタも突然操作できなくなる
再起動しても不正なシャットダウン以外のログは残らない
気温が上がってきたからかなと起動中の温度を見ても全部40度台ぐらいでこれも考えにくい
起動中に落ちることもあるのでアプリ系の原因も考えにくい
電源メモリマザーのどれかでしょうか?
長文すまん あ、ディスク構成は上記NVMe*2、本体側にキャッシュ用SATASSD*1、NAS用HDD*5、メモリ16GB
前回は半年ぐらい前に同じ症状が出たけど、何度か再起動させてたら安定
今回は外付けUSBディスク挿したらシャットダウン病が再発、もちろん今は取り外して様子見ですが
それでもシャットダウン病が治らず。 >>791
報告Thanks
あの後 動いてるApp全部止めて1個ずつ確認したところ
QTS 4.5.3.1652 (20210428) + DownloadStation 5.7.0184(20210325)
でダメになるのが判明した
NECの型番もありがとう
前使ってたNECのanルーターはインテルwifiと相性悪い時期があったので今回牛にしたのが裏目に出た感じ
WX3000HPで安定するなら買い替えてもいいんだけど
ルーターと無線親機は分けたほうがいいってよく聞くし
WSR5400AX6もAPモードなら安定するらしいんで
安くなってる定番acルーターを有線専用ルーターとして買い増しするのもありかなあとか思ったり
(ヤマハやシスコは流石に買えん) QNAPから来た5月のニュースレター内容がクソうざいんだが >>809
外付けのストレージの温度が55℃超えてない? >>802
マルウェア側書き換えりゃ簡単に突破されそうな対策だな まあqnapもsynologyも台湾の会社やしな
ちうごくに占領されたら世界中の情報握られちゃうな
米企業は国策で採算度外視で高機能な安nas出してくれや 4.4から4.5にあげたらアクセスログがqulogに変わって、コンピューター名とか記録される情報がかなり少なくなって、アクセス監視に困っている。
4.4に戻すしかない? >>816
そうだね
マルウェアが7z自前で持ったり変更後にファイルを特定したりすればね
で、わざわざそんなことをすると本気で思ってるのか? QNAP MAS→高機能
QNAPユーザー→ランサムで大騒ぎの低機能ww >>811-812、815
ありがとうございます。
電源はATX600wの自作用を挿してみたけど、やはり不定期シャットダウンが発生しました。
現在、外付けドライブは使用してません。
NVMeも40度台です。
メモリも疑いましたがチェックした結果問題無し。
モニタに出てこないけど温度測ってる部分があれば疑わしいのですが…
後は拡張カードも疑われます。
ちょっと前にLANカード挿したら不安定になった事がありましたが
LANカードは公式には対応リストに載ってないもの、一方今使用している10GLAN+NVMeは公式対応の純正品
これが使えないと色々困るのですが、挿すスロット変えても駄目なら取り外しでしょうか。 7zで暗号化されても、PhotoRecとFilerestoreがあれば復活できるから今回のMalwareはやり方変えてくるかもね
とりあえず今回の被害者はデータ復旧できるだろうけど、他の暗号化手段使われたらまた一からやり直しだな >>825
メモリはテストしても問題ないことがあるので(以前過去スレでもあった)メモリの削減とか入れ替えを試してみては。 >>824
開発者1人のハードコーディングはバレたけど
例えば他にもいるんちゃう?
そっち経由で侵入されてやられてるとかね
このスレにもremover入れてもダメって報告あるけど
まぁガンバレ
日本以外弾いてもjpプロキシ使われたらアウトだし
素直に外部は全閉じでVPN使っとけ TS-230を4台目のNASとして購入した。
QNAPは3台目、他にPCにLinux突っ込んで運用してるからファイルサーバーは5台目だけど、古いAsustorの202TEからTS-228(どちらも4TB)のどちらかを処分するかどうか悩んでる。 >>785
SASカードじゃないが、USB3.2なら、Gen2チップなのにGen1としか認識されんかった。
わざわざ純正拡張カードと同じチップ搭載を探したのに。 >>833
ありがと。マヂか。USBだとチップ同じでもそんなことあるんか。SASだと余計にシビアそうだな。純正SASカード高いし大人しくUSB接続のエンクロージャにします。 また、きたよ
マルウェアリムーバーにコマンドインジェクションの脆弱性
Command Injection Vulnerability in Malware Remover
Release date: May 13, 2021
Security ID: QSA-21-16
Severity: Medium
CVE identifier: CVE-2020-36198
Affected products: QNAP NAS running Malware Remover 4.x 金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ >>835
よりによってマルウェアリームーバーに脆弱性ってどういうことなの… シャレにならんw
てかQNAPのプログラマーは本物の無能か? うーんこれは真面目に乗り換え考えるかなあ
でも乗り換え先が分からん 台湾て親日国だから勘違いしがちだけど、本質的には中国だからな
信用した方にも問題がある 警備員に巡回させてたら、そいつの手引きで泥棒を招き入れてたくらいお粗末な話だね >>817
Synologyはもともとソフト屋だから得意分野
少なくともIDやPASSをハードコードなんてお粗末なことはしない 10GbEカードを追加して10GbEでリンクして転送速度的にもこんなものかと思ってたら
ケーブルが細いのでよく見たらカテゴリ5Eだったわ、ご注意を 某NAS紹介HPさぁ・・・海門HDDディスるわSynology NASごり押しするわ。
だと思うと、HDDのSMART画面がQNAPだったり、「私は海門使ってます」だったり・・・
Synologyこそゴリ押し感ハンパ無い。
>>847
(´・ω・`)知らんがな
>>842
やっぱりQNAP どこのサイト?
Synologyはメディアに金沢山払って宣伝してるからな
雑誌やWebのNAS特集とかは大抵Synologyがスポンサーだから >>849
も~多過ぎる
雑誌系から個人ブログ風の所まで。
個人系で中立だったの「自作とゲー〜」位(組み込み系薄っぺらいとも言えるが)
オレ、NETGEAR・QNAP・Thecusしか使った事無いから(牛・玄箱は黒歴史)偉そうには言えんけどね。 つか、QuTS heroの使い心地聞いてみたい。
873Aと古いNAS入れ替えたから、QTSかQuTS heroで迷っている。
HDDかき集めてバックアップとったから、復元地獄。出来ればOS決めておきたい。
(He抜けの赤にバックアップ取った。 大変なことになってるみたいだけど、家のルーター経由でパソコンからと、外出先からスマホでアクセスするだけの設定でもあかんの? >>849, 850
Synoちゃんはメディア戦略が上手いからQNAPも見習えば良いんだよ
タダでユニット配ってくれれば俺もBlog書いちゃうよ?
>>852
ポート変えたくらいだと危ないかもね。未知の脆弱性叩かれたらヤバイ。
基本的にVPN経由でアクセスするようにしておけばOKじゃないかな。 UPnPポートフォワーディングは無効にしてVPNでアクセスすればいいということ? >>855
UPnPのオフだけじゃなくすべての外部接続は切ったほうがいい
まだ未知の脆弱性が残っている可能性がある 852だけどありがと〜
VPNかますのめんどくせー
外出先からアクセスしないほうがいいNASなのね >>855
基本的にはそういう感じ
外部からの接続を塞ぐ >>851
同じくQTSかQuTS Heroで迷ってる 本体はTS-h886
メインPCとは40GbEで繋ぐ予定でSSDの書き込みキャッシュやQTierが使えて性能が高そうなQTSか、データ保護に優れるHeroにするか
>>857
NAS上でVPN構築できるから別の機器とか買う必要ないぞ
自分はASUSのルーター持ってるからルーター上でOpenVPN有効にして、スマホからでも楽に繋がるようにしてる >>761
続きなんだけど、これだとHTTPの通信だけしかログが記録されなかった
HTTPS(SSL)通信のログをとるには/etc/config/apache/extra/apache-ssl.confを開いて
</VirtualHost>の上の行にCustomLogの行を(ファイル名にsslか何かを付けて)挿入すればいいっぽいんだが
これだとWEBサーバーを再起動すると新しいのに書き換えられちゃうからダメ、なので
/etc/default_config/apache-ssl.conf
を書き換えてWEBサーバーを再起動すればOK…
なんだがこっちはNASを再起動すると元に戻る系ファイルだった
autorun.shで再起動後に書き換える的なスクリプト書かないとダメっぽいけど>>761の通りCLIはちんぷんかんぷんなんで諦めた
というかWEBサーバーとして使えるけどアクセスログはみえませーん!ってどうなんですかQNAPさん… >>860
TailScaleいいよ。WireGuardベースだから速度も速いし、各種OSにクライアントあるし、Webから殆ど設定できる。
https://internet.watch.impress.co.jp/docs/column/shimizu/1313903.html
自分専用でもいいし、ACLも設定できるから公開したいそれぞれに公開するサービスを制限できる。
サブネット設定してLAN内へのアクセスしたり、ゲートウェイ設定とかもできる。
これからの時代は基本的にVPNとかSD-WANベースにした方が安全かもねー
やられてからでは遅い。後悔先に立たず。平穏は自分で守るものだよ。 >>850
確かにSynology推しのサイト多いよね
お金もらってんだろうなって感じのも多いw
笑ったのはNAS比較の記事なのにQNAPが無くて、Synologyと国産NASの比較みたいなやつ
でもテラマスターとか入ってるのw
露骨なQNAP外しでお薦めはSynologyって記事有った 探したらまだ有った。去年の記事だな。
https://the360.life/U1301.doit?id=14664
露骨なQNAP外しはSynologyの指示か
家電批評の記者が書いてるけど、結局あの雑誌もスポンサーついてる商品推しの提灯記事ばっかりなんだな the360.lifeっでステマ専門みたいなサイトじゃないか シノが宣伝に金掛けてるのはそうだろうけどQNAP最高!シノ糞!ってのが全然無いところを見るにシノでみんな満足してるんだろうなと 米国企業がランサムウェアの身代金に500万ドル払ったらしいな。
360.lifeの出版社は評価だけは真面目にやるよ。
たまに土俵に乗らない製品があったり評価軸の設定が怪しいけど白を黒とは言わないタイプのステマ。 外部からの接続を防ぐには
UPnPの無効化
IPv6の無効化
ほかにすべきことってありますか? >>868
この手の身代金犯罪は、南米の誘拐組織なんかもそうだけど本当にビジネスとしてやってるからね
言われた通りのカネさえ払えば何の被害も受けなかったり、人質もかすり傷一つなく返されたりする
でもぐずぐずしたり金をケチったりすると情報がネットに晒されたり指が1本ずつ送られてきたりするw >>867
QNAP買ったもののまともに運用できずランサムで騒いでる層もいるんだからどっこいやで 外部からアクセス必要なQNAPのサービスはドコモスマホからだけなのでファイアウォールにfrom docomoのみokルールぶっこんだわ
ttps://www.nttdocomo.co.jp/service/developer/smart_phone/spmode/index.html
こんだけセグメントあってCLIだから良かったけどGUIなら心折れそう 本日(5/14)公開の最新の脆弱性
Vulnerability in Roon Server
Release date: May 14, 2021
Security ID: QSA-21-17
Affected products: QNAP NAS running Roon Server
Status: Investigating
eCh0raix Ransomware
Release date: May 14, 2021
Security ID: QSA-21-18
Affected products: QNAP NAS devices
Status: Investigating 新しいランサムウェアeCh0raixが見つかりました。
eCh0raixはネット上でアクセス可能なQNAPデバイスに対してブルースフォースアタック
を仕掛けることで、内部に侵入し、ファイルを暗号化してしまいます。
このランサムウェアは現在、調査中で修正版の提供はありません。
対策としては、
1) ウィークパスワードの使用は中止してください。
2) IPアクセス制御で攻撃元からのアクセスを遮断してください。
3) デフォルトの433と8080のポート番号の使用を中止して別の番号に変更してください。
www.qnap.com/en/security-advisory/QSA-21-18 >>867
両方使ったことのあるユーザーなんてそんなに多くないだろうしな
それにどっちもそこそこ優秀だから、一方をクソとかいう事は無いけどな
Synoも国産NASと比べたら全然良かったけど、QNAPを知ってしまうとSynoには戻れない
なんか例えが上手くないかもだけど、MazdaユーザーがSUBARUに乗り換えたらスバリストになってしまったみたいな感じ
どっちも良いメーカーなんだが、自分が求めているものに近いものを提供してくれるのはQNAP
相手貶めるようなカキコしてるのは強烈な信者か関係者だろ
いろいろ騒がしいけど、脆弱性はこの際徹底的に洗い出してセキュリティを強化してほしいっすね >>879
大事なのは数値ではなく桁数、5ケタにしなさい 隣の芝は青いというからなぁ、QNAPの前はNETGEAR使ってたけど
使い勝手にはそれぞれ違いがある synoはiPhoneに似ててQNAPは泥って感じがしてる
好みというか思想が違うんからあうあわないはあるとおもう 金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ 8080のポート変えるってどゆこと?
たとえルーターのUPNPやポートマッピングすら開けてなくて、単にローカルからQNAPの操作画面に入るだけであってもポート変更すべきなん? 攻撃者がポートスキャンする僅かな手間が減るだけだからあんま意味ないと思うけどなあ adminを無効にしろ、パスワードを複雑にしろ、ポートを変えろ、
お決まりの定型文をコピペしているだけにしか見えない
QNAPのセキュリティ部門は機能しているのか
今回の件で外部に協力してもらってるらしいが、そもそもセキュリティ部門はないのか
Walter Shaoなる人物がテクニカルマネージャーをやってた時点でアプリ開発はかなり脆弱にみえる
過失なのか故意なのか、はたまたハッカーの手先なのか
QNAPはWalter Shaoが何者なのか説明しなければならない >>887
意味わからん
会社への批判から個人への批判に切り替えたいってこと? >>887
ソースコードにパスワードがそのまま書かれていた奴か
製品にそんな事するのはちょっとありえないな
これってgithubにawsのアクセスキーあげてしまうくらいの失態じゃないのか
他にもその様なイージーな手抜きがあちこちにありそうで怖いな、それらそのままセキュリティホールだからね
もうQNAPはハッカー達から簡単に陥落できるぞと目をつけられてるだろう
対策はNAS自体を他メーカーにすぐに変更するか、それが無理ならインターネットから完全に切り離してローカル限定にした方が良い >>885
8080から変更する事自体は意味がある
攻撃者は8080に反応があれば、それはQNAPじゃねと思って攻撃してくる
(攻撃者は8080はQNAPでデフォルトで使われていると知っているのだから)
仮に47638番に変更したら、ポートスキャンに反応があってもそれがQNAPかどうかは色々試行してみないとわからない
そんな手間のかかる事をするくらいなら、ポートスキャンなど行わずに手当たり次第に8080に投げつけて反応があったIPから攻撃した方が手っ取り早い
狙う側からしても、この状況下でもデフォルトから変えていないユーザーは、イコール危機感薄いか、何も知らないド素人の可能性が高い!カモだ!
と考える(実際そうだが) そもそも8080とか他でも使われるポート番号だからスキャン受けやすいわな >>885
悪い、よく読んでなかった
公開しておらずローカルで使うだけなら変えなくても問題ない
Upnpはルーター側で切ってある、
NASにデフォルトゲートウェイ設定していない
という前提な ポート変更するなら、80はルータか何かで塞いでおかないと効果が薄れるんじゃない?
リダイレクト機能があるでしょ ここの連中はウェルノウンポートって言葉を知らんのか ポートはデフォルトから交換しておいた方がいいと思うけど
例えUPnPをOFFにしたとしても、ルータを初期化したリ
交換したら元に戻ってしまうし
基本はすべてを塞ぎ必要なものを開けていくこと
HBS3のアップデートが来てるからチェックしようね >>897
?ルータの入れ替えで、QNAPのUPnP OFFが元に戻るって、なんだそれ? 真っ先に狙われるのは探す手間も省けてセキュリティ意識も低そうなmyQnapCloudで公開設定にしてるやつ
そして絶対の安全というものは無いが、やられる可能性を少しでも減らす為にもやれることはやっておけという話 >>899
QNAP側でも設定しなきゃだめ
だからルーターで許可しただけじゃ有効にならないぞ QNAP窓から投げてSynologyにすればええだけやん RAID5のQnapからSynologyに移行する場合、またHDD4台とNAS本体買ってコピーしなければならんの?
もうQnapやめたいけど金かかりすぎてきついんだが >>903
Synologyのスレで聞いた方がいいと思うよ? >>903
この機会にバックアップを始めたらどうだ
バックアップHDDを介して移行する 一通り、admin無効やfirewallの設定とかをしたのでポート番号の変更をしたいのだけど、具体的にどのような番号にしたら良いのでしょうか?(素人ですみません汗)
>>576のポート番号を避けて4,5桁の番号を使い、
>>618のように、8080と443の変更を同じ番号にしないように注意して変更すれば良いのかな?
それぞれ、何番から何番の間が良いとかあればご教授示下さい。 >>906
通常、アタックをかけてくる場合は、IPアドレス順に8080と443のポートが開いている
かをチェックする。したがって、1つずらして8081に、444は使われてるかもしれないの
で4430とかにすれば初心者の攻撃は凌げる。
ただし玄人だったら、相手がQNAPだとわかったらポートスキャンをかけてオープンな
ポートがないが全部チェックする。こういう相手にあたったら番号を変えても勝ち目は
ない。 >>906
動的・プライベート ポート番号 (49152-65535) というのがあるからこの範囲で適当な番号を選べばいいよ
既に使われている場合はエラーが出るから大丈夫
443とか8080とかの数字は含まない方がいいと思うけどね 仕事等で使うならそれなりに知識無ければまずいけど、自分なんかは写真や動画の保存場所と、スマホやタブレットでそれを気軽に見たいってレベルで、そんな人も結構いるんのじゃないかな。
まあ、家の外では一切見られない設定にしてしまうのが1番なのだろうけど。 >>909
有難うございます!
QNAPはいろいろ出来そうだと思って選択したけど、今回の騒動でいろいろ勉強中で助かります。 基本は>>909さんの挙げてる範囲にすれば大丈夫なんだけど
気が向けば上のほうの5ケタを選ぶときでも「52869/tcp」みたいにぐぐると
謎の界隈で人気かどうかがある程度わかると思うよ
不人気ポートをさがそう qnapでマルチメディアサービスoffなら
upnpはoffになってると思っていい? >>910
家の外では一切見れない設定を一発でできればユーザの間口拡がるかも >>914
qnapのデフォルトゲートウェイを127.0.0.1にでもすりゃ実現できるやんw >>913
myqnapcloud見たらいいのになんでそんな面倒くさい考え方するの? >>913
×
QNAP本体だけに限れば、最低限として
・UPnPディスカバリー機能の停止
・myqnapcloudの自動ルータ構成の停止
・インストール済みの各アプリでのUPnPの停止 そもそもルータでUPnP有効にしなければNAS側でいくら設定してもUPnP使えないようね
8080使いたくなかったらhttpsのみの接続にすればいいし
ポートスキャンかけてオープンな〜もUPnP使ってなかったら自分でルータでポートフォワーディング(意図的にポート開放)しているってことだし、やめればいいだけじゃないのw
admin無効も弱パスワードでなければ意味があるとは思えないな
ご丁寧にadmin使うのではなく、たいがい脆弱性ついた権限昇格で侵入されるもんでしょ
QNAPから移行したければ勝手にすればいいがバックアップのないNAS単体の運用なんていずれデータ飛ばすよ
RAID5でリビルド中に失敗したらどうすんの?
今回やられた連中ってルータとNASの設定の合わせ技でやられたと思うよ
あれこれ設定確認したかったらきちんと公式サポート受けなよ QuTS hero使ってみた(TS-873A)。
正直、管理がよくなっているとは思う。コレ重要。
だけど、バックアップ用エンクロージャが(TL-D800C)認識出来なかったり(ファイルシステム違うからなぁ)で、システム元通りにするのが地獄。
QTSも階層化が魅力だし...個人・小規模用途なら、今まで通りQTSなのかなぁ そういや先日myqnapcloudのアプリアップデートした時、myqnapcloudlinkが勝手にonに切り替わってたような 目の前でTS-453Beが壊れた。
ファイル移動をガリガリやらせてたら「ガシュ」と聞いたことのないHDDやっちまった感じの電源断で、ACアダプタ指し直してもSTATUS赤点灯→赤点滅。ビーと鳴る気配すらなし。ファンもHDDも回る気配なし。
こりゃ修理しかないかなあ 症状からして電源回りぽい…
尼のプライムデー2018.12に買った履歴がある。2年半かあ、もうちょい頑張ってほしいけど10GBe化したかったんで潮時かな…修理代次第だけど直してオクかな HDDがガリガリ動いてるところへの電源断でヘッドとプラッタ回りからの音がしたって感じ…(もちろんNASのどこかなんてわからんが)ぶっちゃけ恐くて開腹もHDDをお立ち台につないだりもできてない…
HDDは幸いバックアップが生きてるから、心の整理ができたら順次確認してく 普通はNAS以外にバックアップ有るだろ
無いのに暗号化とか、お前はなにを守りたいんだと 識者に質問ですがTS453Dで10GBカードを追加した場合に
2.5Gが2ポート余るのですがハブのように他の機器を接続して活用する方法とかありますか? >>922
8) (ハードウェア自己テストエラー)。
って状態かな。 めちゃくちゃ安いジャンクのHDD買ってきたらリアロケーション回数が黄色信号レベルまで来てるだけで他は問題なさそう。
RAID5で運用して自然死するところを見届けたい。 死ぬ可能性が高いのなら、RAID1の方が安全じゃないか。 いやたまたまHDD稼働中に死んだってだけで、もうNAS自体起動できないんだから故障したんだろ QNAPが他社NASへのバックアップも検討するように推奨してるのか
もうこの会社おしまいだな(笑) >>680から特に新しい情報はないみたいだね、一安心 QNAPとSynologyじゃないやつでまともなメーカーってあったっけ? そのうちランサムウェアにやたら強いNASとかルータがきっと出て来ると思う
まあそこが怪しいのではともいえるかもしれないが... 今回の件はQNAPがザルだったのか敵がスゴかったのか、どっちなの? >>947
それだけQNAPユーザーが多いってこと。
ユーザー少ないニッチメーカーを攻撃しても、身代金取れないしね。 >>947
今回はQNAPの大ポカだけどスナップショットの削除まで仕込んだマルウェア側もよくやったって感じ
>>949
L2TP/IPSecとOpenVPNを使ってる、PPTPはさすがに停止した 今どきPPTP使うガイジいるの?
無線LANでWEPを開放するぐらい怖い OpenVPN使ってたけど、今回の件でYAMAHAのVPNルーター検討してる
NASがVPNサーバーになるとか最高!って思ってたけどね
自分のレベルじゃ原因とかよーわからんのでルーターで止めるのが正解なんじゃないかと
とりあえずはQSyncがメインの運用なんで、もう少しはっきりするまで
たまに電源付けてシンクロ出来たらシャットダウンで運用中 うちはL2TP/IPSECにsoftether(ラズパイ)、SSL-VPNでfortigateで第2要素暗証で乱数トークン使ってる。
流石にNASにVPNまでさせる勇気はない… YAMAHAのルータってOpenVPN使えないよね 回線がtransixはもちろんmap-eでもダメじゃん
IPv4 PPoEなら問題ないけど
ちな Video Station -> Media Console > HBS3ときて次はQSyncあたりが狙われると予想 YAMAHAのRTX830買ったけどそこはまあ理解してる
OCNもSo-netもIPv4同時提供してるしまあ困ることは無かろうという見込み バックアップ戦略にHBSが便利ってのが売りだったのになんだかなあって感じ NASのVM上で
SoftetherVPNのopenVPNを動かしてる
v6通るので便利ですよ 結局の所今QNAPのnas買ってもいいのですか?対策すれば問題無いのかな? 基本的にルーターのUPnPをオフにしてmyqnapcloudを使わないようにして
インターネットにNASを公開しないようにすればいいいいと思うけど
急ぎでなければもう少し様子見ればいいんじゃない? PhotoRec使って復旧試みてるけど48時間経過しても一向に終わる気配がない。
2TBのHDDを4つ使ってるだけなんだけど、こんなに時間掛かるもんなのかな? >>809です
その後、再起動病が酷くなって起動すらしない羽目に
電源入れるとsystem bootingでずっと終わらない、起動中のプッという短いビープ音も鳴らない
拡張カードを抜く、HDD全部抜く、ハードリセットSW押す、メモリ交換、ボタン電池抜く、全部ダメ
全部抜いた状態で半日放置してもダメ
ステータスランプは電源入れて一秒緑→赤→消灯でHDD付けてても同じ
HDDがスピンアップしている様子がない
ダメ元でqnapで使用していないHDDを一個だけ繋いで電源入れたらスピンアップした上で認識して落ちた
その後、全部抜いて起動させBIOS画面が出るのを確認して元々使ってたHDD、SSDを挿し直し
再起動病状態に戻った後、一旦わざとキーボードでBIOS画面に入った後、再起動させると安定、NASの表示部分にファームバージョンが出るまでは回復
なんなんだコイツは >>960
なんとなくromっていて最新バージョンにすればいいんでしょ(ハナホジーぐらいに思ってたけど問題はもっと深刻みたいですね… >>962
BIOS画面まで出るのならmemtestをやってみるとかBIOSを更新してみるとか >>965
memtestは通りました。
biosよく探したらあった、ユーティリティ欄に埋もれてメチャメチャ分かりづらい上にTS671って型番誤植してる
自作用マザーだとBIOSは分かれてるのにこれは酷い
ありがとう、やってみます >>967
本当にありがとう。
BIOS更新でquickbootがデフォでONになってるせいか起動が早くなった
ただ、勝手にシャットダウン病は変わらず。
シャットダウンする時はNASHDDのランプの一部が激しく点滅(毎回場所はランダム)で、NAS本体は応答なしになり
NASステータス見る画面も操作が効かなくなる >>963
TS-653DでRTRRサーバが上がらなくなった
rsyncdが上がったから取り合えずバックアップ継続できるけど、相変わらずだな >>968
それって電源ボタンがおかしくなっていて
強制シャットダウン状態になっていたりしない? >>970
BIOS画面やmemtest中は一切落ちないので物理的なスイッチは大丈夫
温度も、通常の状態で最高40度台で落ちてるしmemtest中の方が温度が高い
電源交換しても症状変わらずなので、もうマザーがおかしいぐらいしか… >>971
基板のどこかがおかしいっぽいね
NASは安定してナンボなので、修理か買い換えでは? DNS周りはやっぱりバグだったのか
今回はFixed a security issueがあったからリリースされて速攻入れたけどうちは大丈夫ぽい メモリを単体でスロット変えてもダメなら、もうマザーボードくらいしか
落ちるあたりでコンソール画面に何か出力されていないかな 色々ありがとう
コンソールの方も同様に急に応答が無くなります。
特に原因が書いてある怪しいログは出ずです。
マザー故障が80%だけど、ひょっとしたらUSB直結のファーム等入っている本体ストレージが怪しいかも?
memtestやbios画面等、ファームウェアを読み込む前の段階では落ちません。
memtest一晩回したけど落ちず。
本体上では、起動している数分間で何とか最新20210515には見た目正常にアップデート出来たけど症状は変わらず
web上でQnapログイン後デスクトップ画面に行って数分で突然シャットダウン
調子悪い時は起動中にシャットダウン 勝手に落ちるのなんでだぜ病のTVS-671の人はもう十分にいろいろ探ってるし
あとは修理と買い替えのどちらがいいかじゃないでしょうか
手元の作業で元気になってくれたら何よりなんですけどね 最後の希望として、本体USBストレージ領域の損傷を疑ってますが、ここがイカれてた場合USBメモリ外付けで復旧は難しいでしょうか?
一時的な復旧には使えるけど恒久的な使用は無理そうですが
すいません色々 >>978
USBメモリをDOMの所に接続してリカバリすればQTSで起動しますよ
以前にTS-453Aで一時期使ってた事があります
ただ、メモリのメーカーチェックされているのかDOMと完全に同一の動きはしませんでした
QNAPCloudが再起動の度毎回ログイン要だったり
今はApacerのDOMを入手したので復活しています >>976
https://www.google.com/amp/s/ascii.jp/elem/000/000/032/32723/amp/
電源関係だと、熱で寿命が来てしまうコンデンサもあったり。
接続等が色々正常そうなら、コンデンサが妊娠していないかも確認してみては。
以前このような事に出くわしてから、不可思議なシャットダウンはコンデンサを見るようにしてる。。
案の定膨らんでたりするから。。
当時は煙が出て、火事になるかと思った。 以前と言ったけど、Pentium4搭載機や10年くらい前のPCの話で、
Q様ではまだ見たことがないので大丈夫だと思うけど、念の為確認でした。
すみません。 エロ動画が全部暗号化されてもうた・・・
俺の熟女コレクションがw 今はやりのランサムウェアの対象が20MB以下だから
これからは高画質でサイズが大きい動画をコレクション
するといいと思いますよ >>982
話逸れるけどPen4って発売はもう20年前、2008年には初代Coreシリーズが発売なんだぜ
10年くらい前っていうけどコンデンサのパンクなんてのをよく見かけたのは15〜20年前かな 自作でintel cpu買ったのは後にも先にも北森だけだったな
最初に買ったのは6x86やった
今でこそamdはタメ張ってるけど、phenom1-2時代は苦しかったなw >>985
最近はOSコン使ってるから、電解コン由来の問題は発生しないよね。
電解コン、爆ぜるとイカ臭いんだよねw 電解コンはOSコンだろうとなんだろうと温度仕様と使用する温度に左右される
気温が高い部屋とか空気の通りの悪い場所に設置すれば寿命が短くなる >>988
どの形式のコンデンサでも容量抜けあるよ 固体とか電解液とかいう話というか、
コンデンサの品質が重要なセールス因子になるようになったという感じでしょうか。
粗悪品使ってコスト削減するくらいなら、
高品質のものを使って売り文句にしたほうがメリットが大きい。
それくらい市場がマニア向けに傾いたというか。
タケノコ事件とか電解液のコンデンサだからというよりは粗悪品を使ったという話なのに
何でもかんでも電解液のコンデンサはダメというか固体ならOKみたいな風潮になったしねぇ。
メーカー不詳の固体コンデンサ採用と日本産有名メーカー製の電解液のコンデンサ採用。
それ以外同じ仕様の製品が有ったとしたらどっちが売れるかなぁ。 クソ高かったナナオの液晶モニタの電源入らなくなったジャンクを格安で買って、
1個数十円の電解コンデンサを数本交換するだけで再生できたんで、
俺としては美味しい騒動やったな
死蔵してたABITのママン数枚ももれなくお漏らししてて全部整備済品に交換してもらって結構な高音で捌けたし タケノコ事件って表現は初めて聞いたけど、
2000年前後の台湾製電解コンデンサお漏らし大量発生のことだと思われ
漏れ方に寄るが天板突き破って中身がニョッキすることもあったからな
>>991
元々電解コンデンサの寿命は使わなくても10年くらいなんで、
寿命の長い固体コンデンサ使用は商品として魅力あるだろ QTS4.5.3 1670 に上げたんだけど、目玉のカスタム HTTP Serverヘッダーを設定してみたけど
Apacheのままで変わらない、この設定ってどこの動作に反映されるんだろう? なさそうだったんで立てた
不備があったらごめん
【静音・高機能NAS】QNAP part57【自宅サーバ】
https://mevius.5ch.net/test/read.cgi/hard/1621583752/ このスレッドは1000を超えました。
新しいスレッドを立ててください。
life time: 29日 1時間 13分 24秒 5ちゃんねるの運営はプレミアム会員の皆さまに支えられています。
運営にご協力お願いいたします。
───────────────────
《プレミアム会員の主な特典》
★ 5ちゃんねる専用ブラウザからの広告除去
★ 5ちゃんねるの過去ログを取得
★ 書き込み規制の緩和
───────────────────
会員登録には個人情報は一切必要ありません。
月300円から匿名でご購入いただけます。
▼ プレミアム会員登録はこちら ▼
https://premium.5ch.net/
▼ 浪人ログインはこちら ▼
https://login.5ch.net/login.php レス数が1000を超えています。これ以上書き込みはできません。
