【静音・高機能NAS】QNAP part56【自宅サーバ】

■ このスレッドは過去ログ倉庫に格納されています
2021/04/22(木) 15:58:45.35ID:gJ+wWukAr
※次スレは>>970踏んだ方が立てて下さい。立てる時は1行目に !extend:checked:vvvvv:1000:512 をお忘れなく。

静音・高速・高性能なNASサーバ、QNAPのアプライアンス製品のスレ
NASを使う際に気になる点、速度・機能・静音などを高いレベルで満たす数少ない製品です
NASは初めての方から、標準搭載の各種機能が目的の方、データ保全とセキュリティが重要な業務用途、
Linuxベースの自宅サーバが欲しい方まで、幅広いユーザに最適です
QNAPは台湾のメーカーですが、マニュアルからユーティリティまで完全日本語対応です

・オフィシャルサイト: https://www.qnap.com/ja-jp/
QNAP NAS Community Forum https://forum.qnap.com/
保証情報 https://www.qnap.com/ja-jp/service_ask/
販売/流通ルートは(海外通販や並行輸入品なども含めて)幾つもあります
正規代理店も複数あるので、故障時の手間や保証サポートのことも考えて、好きな流通経路のものを

関連サイト
・QNAP Club Japan https://www.qnapclub.jp/

関連スレ
NAS総合スレPart31 (LAN接続HDD)
https://mevius.5ch.net/test/read.cgi/hard/1566794151/

前スレ・過去スレ:【静音・高機能NAS】
part49 https://mevius.5ch.net/test/read.cgi/hard/1569008532/
part50 https://mevius.5ch.net/test/read.cgi/hard/1577438170/
part51
https://mevius.5ch.net/test/read.cgi/hard/1583806285/
part52
https://mevius.5ch.net/test/read.cgi/hard/1591197765/
part53
https://mevius.5ch.net/test/read.cgi/hard/1597666162/
【静音・高機能NAS】QNAP part54【自宅サーバ】
https://mevius.5ch.net/test/read.cgi/hard/1607608227/
【静音・高機能NAS】QNAP part55【自宅サーバ】
https://mevius.5ch.net/test/read.cgi/hard/1615087933/
VIPQ2_EXTDAT: checked:vvvvv:1000:512:: EXT was configured
2021/04/25(日) 00:15:19.57ID:S32RsCbg0
>>260
おおすごい
2021/04/25(日) 00:24:56.54ID:oq0zcCM40
>>260
マジっすか!??
おめでとう!
2021/04/25(日) 00:27:03.72ID:yQmWuWYL0
>>260
オメ
2021/04/25(日) 00:39:51.24ID:MioQnPzi0
/usr/local/sbin以下の7zってコピー出来ないんですか?
ssh接続でcopy コマンド打っても
copy: command not found
と出てファイルを動かせないのですが…
2021/04/25(日) 00:43:23.59ID:nQHR7+0/0
中身がシェルスクリプトの偽7z、効くんだね
32文字数える人が多発しなくて済むように

「-p がパスワード指定オプション、次の文字からパスワード」
2021/04/25(日) 00:44:40.69ID:yQmWuWYL0
現在のQlockerへの対処方法

1.あきらめる
2.身代金を払う
3.TestDiskを使用して暗号化後に削除されたファイルをレスキュー?
4.運が良ければ 7z.log に保存されていたパスワードでファイルを復活する

Qlockerで狙われた脆弱性がすべて解消されたかどうかはわからないので
インターネットから接続できないようにした方が良い

自分もいつやられるかと心配している…
2021/04/25(日) 00:45:35.77ID:Y2xQ2RLo0
マルウェアって怖いんだな
これはやっとけって対策はテンプレ化出来ないかな?
2021/04/25(日) 00:51:27.67ID:MioQnPzi0
あ、ごめん書き出し先のパス間違ってた

/mnt/HDA_ROOTに7z.logやっぱり出てこない…
>>260さんは再起動したら7z.logが出てきた?
2021/04/25(日) 00:59:24.11ID:yQmWuWYL0
>>267
1.Malware Removerの最新版をインストールしてスキャン実行
2.https://www.qnap.com/ja-jp/news/2021/qlocker-%E3%81%AB%E3%82%88%E3%82%8B%E3%83%A9%E3%83%B3%E3%82%B5%E3%83%A0%E3%82%A6%E3%82%A7%E3%82%A2%E6%94%BB%E6%92%83%E3%81%AB%E5%AF%BE%E3%81%99%E3%82%8B%E3%81%94%E6%A1%88%E5%86%85qnap-nas-%E3%82%92%E5%AE%89%E5%85%A8%E3%81%AB%E3%81%8A%E4%BD%BF%E3%81%84%E3%81%84%E3%81%9F%E3%81%A0%E3%81%8F%E3%81%9F%E3%82%81%E3%81%AB
3.ルーターでのUPnPの停止とNASへのポート開放の削除
4.myqnapcloudの利用停止
5.Qufirewallで海外からのアクセスをフィルタリング
6.Multimedia Console、Media Streaming Add-on、およびHBS(Hybrid Backup Sync)の停止
2021/04/25(日) 01:02:38.88ID:MioQnPzi0
あーーーこれやっぱり暗号化されてる最中じゃないとなんにも出来ないんだね…。
暗号化完了したらもう打つ手なし 終わりかな
271不明なデバイスさん (ワッチョイ 09a5-Nexr)
垢版 |
2021/04/25(日) 01:20:22.08ID:ZTplm9/w0
257です。
やっぱりいろいろやったけどだめでadminリセットしました。
結果としてログイン、sshはできましたがログは見当たりませんでした。
272不明なデバイスさん (ワッチョイ 09a5-Nexr)
垢版 |
2021/04/25(日) 01:25:56.96ID:ZTplm9/w0
/mnt/HDA_ROOT
/share/CACHEDEV1_DATA/.qpkg/MalwareRemover/
みましたが見当たらず。

参考になるかわかりませんがそれっぽいログを
警告 2021-04-23 03:02:20 admin 127.0.0.1 Malware Remover Malware Removal [Malware Remover] Removed high-risk malware. Immediately update QTS and all applications to their latest versions and use stronger account passwords. Weak passwords make the system vulnerable to exploits and malware.
警告 2021-04-23 03:02:23 admin 127.0.0.1 Malware Remover Malware Removal [Malware Remover] Removed malware. You must restart the NAS.
警告 2021-04-23 03:02:24 admin 127.0.0.1 Malware Remover Malware Removal [Malware Remover] Removed the detected malware: MR2102
情報 2021-04-23 03:02:24 admin 127.0.0.1 Malware Remover General [Malware Remover] Scan completed.
情報 2021-04-24 00:33:28 admin 127.0.0.1 App Center App Installation [App Center] Installed Malware Remover4.6.1.1 in "/share/CACHEDEV1_DATA/.qpkg/MalwareRemover".
273不明なデバイスさん (ワッチョイ 09a5-Nexr)
垢版 |
2021/04/25(日) 01:27:42.40ID:ZTplm9/w0
アップデート前のremoverが先にマルウェアを削除してしまったのがまずかったんですかね?
アップデート後のスキャンは特に検出がないようです。
274不明なデバイスさん (ワッチョイ 2e9f-abm2)
垢版 |
2021/04/25(日) 01:54:21.31ID:F5U07W8M0
>268
自分の場合、
ファームウェア更新かけて自動で再起動するものと思っていて
今日夕方、NASにログインしたら 更新完了したから再起動する? って聞いてきていて
急いで OKクリック。
更新後、ちょっと不安になって
フリーソフトの everything でNAS内で1フォルダ
(フォルダ名:share)で300GBくらい使っているところ検索かけたら
.このフォルダ内のファイルが .7zになっていました。
そしてQuログみたら23日の午前2時に malware remover が自動で削除してくれてました。
感染時間1日半でした。幸い、share内のバックアップデータファイルだったんで
そこまで喪失感はありませんでしたが。

おそらく。 malware remover を21日に最新版に更新していたので
(知り合いでQnapNAS使っているところから最初話しを聞いてすぐに
APpcenter全て更新とファームウェア更新したが再起動はしていなかった)
最新バージョンだと削除と同時に 7z.logを残すのかなあと思いました。

尚、知り合いはNASのファイル容量が少なかったため malware remover で
削除する前にプロスが消失していたぽいです。
もっと早く気づけてれば手動で remover できたけども、そのころの
reomover のバージョンではログださなかったかもです。
2021/04/25(日) 02:38:30.45ID:WZ6eeCr10
マイニング用途でのHDD需要、確かに品薄にはなってますが、まだ何とか耐えているんですかね。
8TB以上が買い漁られているとの事でしたが。
2021/04/25(日) 02:40:00.66ID:WZ6eeCr10
全然耐えてませんでしたね、
大容量の売ってないですね。
2021/04/25(日) 08:41:09.80ID:UMG1ShY20
>>260
すげえ。おめでとう。
278不明なデバイスさん (ワッチョイ 2e9f-abm2)
垢版 |
2021/04/25(日) 08:44:02.12ID:F5U07W8M0
274です。すみません。昨日はパスワード分かってやったー!って思いまして
今朝実際に解凍すると日本語のファイル名の場合、ファイル名が文字化けしてしまっていました。

例 手順書.txt.7z を解凍すると
手順書.txt という名前のフォルダができてその中に元のファイルがマクロ手順.txt
といった感じでできます。

7z , cube ice , winrar で試しましたがいうれも文字化けしてしまいました。

SSHなどで自動一括で解凍時のフォルダ名をファイル名に変更するみたいな事かもしくは
今回と逆に .7zだけ取るということはできないものでしょうか。
ご教授頂けると幸いです。
2021/04/25(日) 09:31:40.23ID:vQvtvi6/0
もしかしてプライベートアドレスしか許可してないわいは高みの見物?
2021/04/25(日) 09:48:15.53ID:UMG1ShY20
>>278
ファイル名だけ?
それだとこういう系の情報に当たれば解決しそう。
https://qiita.com/DaikichiDaze/items/4754352da1652d03dc85
2021/04/25(日) 11:04:24.80ID:/RFz17op0
1.あきらめる
→諦めたくない
2.身代金を払う
→払いたくないし解除失敗報告が出てる
3.TestDiskを使用して暗号化後に削除されたファイルをレスキュー?
→元から割と容量逼迫してたのでおそらく7zに置き換えられたときに残骸を上書き済
4.運が良ければ 7z.log に保存されていたパスワードでファイルを復活する
→一度シャットダウンしてしまってる

なので新しいNAS買って完全内部運用で再スタートして
死んだNASは自宅の慰霊碑にしていつか総当たりが高速化して
現実的な解読時間になったときのために取っておくよ…
2021/04/25(日) 11:33:11.46ID:yQmWuWYL0
>>278
sshを使う環境になれていない人はBATファイルとexcelでできるんじゃない?

1 エクスプローラーでshiftを押してパスを含めたファル名をコピー
2 excelで一列目をCOPY、二列目を空白、三列目をコピーしたパス、四列目を空白、五列目を三列目をコピーしたパス
から最後の¥以降を削除したもの
3 テキスト形式で保存
4 拡張子をBATにして実行

細部を詰める必要があるけどこんな感じで。
2021/04/25(日) 11:36:20.13ID:yQmWuWYL0
>>281
シャットダウンしても7z.logは削除されないよ
2021/04/25(日) 11:45:41.44ID:yQmWuWYL0
あと、windowdsのフリーアプリの「お〜瑠璃ね〜む」で一括リネームできるかも
2021/04/25(日) 11:50:43.78ID:/RFz17op0
>>283
最初にシャットダウンしちゃったんだ
2021/04/25(日) 12:04:20.87ID:yQmWuWYL0
インストールさえしていればmalware removerは自動更新なので感染した時期が遅ければ7z.logがある可能性はちょっとだけある
2021/04/25(日) 12:18:36.46ID:X5re0GUb0
普通被害拡大を考えてシャットダウンするよね…
2021/04/25(日) 12:35:13.00ID:nQHR7+0/0
手順書.txt でなく マクロ手順.txt だと思うんだけど…
これが動く環境の人は自力で解決しちゃう人じゃないかと書いてから気づいた

#!/usr/bin/env perl
use Encode;
#use HTML::Entities;
my $terminal = 'cp932'; # 環境に合わせて cp932 とか utf8 とか選ぶ

# while (<>) { # 実際はこっちで hoge.pl < encoded.list > decoded.list する
while (<DATA>) {
 # print encode($terminal, decode('utf8', decode_entities($_))), "\n";
 s/&#(\d+);/pack('C', $1)/ge;
 print encode($terminal, decode('utf8', $_)), "\n";
}

__DATA__
&#227;&#131;&#158;&#227;&#130;&#175;&#227;&#131;&#173;&#230;&#137;&#139;&#233;&#160;&#134;.txt
2021/04/25(日) 12:43:31.47ID:yQmWuWYL0
>>284
Flexible Renamerで"\f.\e"でいけるぽい
290不明なデバイスさん (ワッチョイ b6b7-msKI)
垢版 |
2021/04/25(日) 13:01:37.11ID:QFz+payI0
結局感染ルートは何だったの?
291不明なデバイスさん (ササクッテロラ Spc1-HbPS)
垢版 |
2021/04/25(日) 13:12:20.56ID:xz7Kji8Fp
272です。
qnapから問い合わせの返答がありました。
仕事中なので詳しくはまたカキコしようと思いますが、logを取得できるのは暗号化が実行中の時のようです。
マルウェアリムーバーがウイルスの実行中に削除していればlogが残るということかもしれません(これは推測)
2021/04/25(日) 13:20:59.31ID:/RFz17op0
>>287
ケーブル抜いてシャットダウンしないが正解だったんだろうけど
シャットダウンしなかったら暗号化がさらに進むからねえ
海外フォーラム見てたら7z.log吐き出させる手段が見れてた時刻なんだが
本当に失敗したよ
2021/04/25(日) 13:43:39.02ID:yK5iDcHU0
>>55
4/22には再起動しない方がいいかもって情報あった
2021/04/25(日) 14:10:27.69ID:MioQnPzi0
malware removerって元々入れておくようなソフトだったのか…
2021/04/25(日) 14:15:07.08ID:CckfsOgo0
会社でQNAP使っててやられたところは大変だろうなぁ
2021/04/25(日) 15:03:02.22ID:yK5iDcHU0
月曜からこのスレに質問殺到したりしてなw
2021/04/25(日) 15:13:25.90ID:QwdyEIdTM
UPnPは無効にした、危険って分かっていながら使ってたけどこういうことがあると使い辛い
いろいろ対応を考えないと今まで通りに使えなくなってしまうからつらい
なんだかコロナみたいだ
2021/04/25(日) 15:22:40.04ID:gS7vO+4K0
気が付かずにいて、今この瞬間も7z化が進行してるやつがいるんだろうね。
2021/04/25(日) 15:26:59.49ID:gS7vO+4K0
インターネットに公開するってこういうことなんだよな。
ちょっとしたことが簡単に致命傷になってしまうけど、全部自己責任。
2021/04/25(日) 16:32:29.95ID:X5re0GUb0
今回は規模がそれなりに大きそうだから捜査機関が動いて逮捕されそうな気もするけどロシアとかだとなぁ
301不明なデバイスさん (ワッチョイ b6b7-msKI)
垢版 |
2021/04/25(日) 17:23:37.73ID:QFz+payI0
Multimediaフォルダ配下のファイルに7zが無ければ安心してよいのかな
2021/04/25(日) 18:17:03.31ID:JDKfD28P0
初歩的な質問ですまん
現時点でやられて暗号化され始めているかどうかはFile Stationで7zファイルを検索して判断はまずいのかな。
とりあえず2021年以降に生成された7zファイルは無かった

ログでも怪しい履歴はなさそう
Malware RemoverはこれからDLしてスキャンします。
今後のための対処はAdmin無効化済、
ポート変更はこの後対応します
2021/04/25(日) 18:18:47.88ID:yQmWuWYL0
一番最初にやるべきことは7zファイルを探すことではなく
Malware Removerの最新版を実行すること
2021/04/25(日) 18:19:47.04ID:yQmWuWYL0
一番最初にやるべきことは7zファイルを探すことではなく
Malware Removerの最新版を実行すること

大事なことななので
2021/04/25(日) 19:01:48.59ID:ef9ROGi40
QTSのサポート4.5.xまでだった機種が軒並み「完全」まで延びてね?
2021/04/25(日) 19:50:17.61ID:yK5iDcHU0
HBSって同期先のフォルダ設定するとlatestとか勝手に階層切ってくるけど既にrsyncとかで手動で同期してた既存のバックアップ先のフォルダがある場合にそのファイル群を生かして差分だけHBSでバックアップさせるのって無理かな。
1から全部削除してコピーし直すのが無駄だなーと。
307不明なデバイスさん (ワッチョイ 8cbb-On6t)
垢版 |
2021/04/25(日) 20:00:16.17ID:rUNfU2qg0
もしランサムウェアにやられて直ぐには対処できな場合、ひとまずそのNASをネットから切り離して
新しい機材ですぐにNASを構築することも検討すると思うけど今はHDDが無い!って場合もありそう
2021/04/25(日) 20:43:17.66ID:jW+oyIhZ0
>>305

当方 x51 持ちだが、伸びてるね。
EOL に向けて買い替えを検討していたが。
309不明なデバイスさん (アウアウウー Sa83-zvOL)
垢版 |
2021/04/25(日) 21:50:48.70ID:uRyqKbEEa
>>305
本当だ、伸びてますね。
情報ありがとう!
2021/04/25(日) 22:08:12.58ID:x4GA2QAQ0
バックアップ用にHDD欲しいんだけどな

マイナーも転売屋も絶滅しろ
311不明なデバイスさん (ワッチョイ e201-Im0W)
垢版 |
2021/04/25(日) 22:36:41.21ID:pOyrI8Mu0
278です。月末と言うこともあり仕事建て込みで移動先で見てます。

>>280
ありがとうございます。エンコードの設定して確認してみます。
https://qiita.com/DaikichiDaze/items/4754352da1652d03dc85

windows上で一括ファイル名変換。
.7zファイルのファイル名群をリスト化
解凍後に 一括変換。
なんとなくわかりました。時間ができたときにやってみます。
2021/04/25(日) 23:46:00.16ID:WZ6eeCr10
>>305
そうなんですよね、以前のリストに戻っているような気がします
TS-x73Aの表記も消えていますし
2021/04/25(日) 23:53:00.17ID:JDKfD28P0
>>310
今日はpaypay高還元だから外付けHDD8TB買った。
バックアップ大事だね。
2021/04/25(日) 23:55:03.76ID:MioQnPzi0
admin無効化にした場合って、今まで使ってたアプリはQTSのトップページに表示すること出来ないの?
appcenterから表示先を全ユーザメニューにしても出てくれないんだけど
2021/04/25(日) 23:59:43.97ID:WZ6eeCr10
>>314
メインメニューからのドラッグアンドドロップで可能ですよ
2021/04/26(月) 00:59:08.34ID:65qQL2h70
>>315
ありがとう!そこから出来たんだね
2021/04/26(月) 01:36:01.17ID:dqDH3VAh0
HBS3を最新版にアップデートしたらRTRRサーバーの設定が吹き飛んだ
一度アンインストールしたら直ったけど

ルーター新調した直後に同期がエラー起こしたので、ルーター設定を疑ってて時間がかかったわ
2021/04/26(月) 09:37:00.63ID:gGwXjvxDM
これmalware removerって手動で入れないといけないんかな。
2021/04/26(月) 10:17:46.83ID:e4S751C10
教えてください。

Puttyで

cd /usr/local/sbin; printf '#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;

をコピペしようとすると

<z.log\nsleep 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;

と入力されてしまうのですが、何がおかしいのでしょうか
2021/04/26(月) 11:47:51.27ID:Dj1F5Gui0
>>318
QTS4.5.xならQTS初期化したら有無を言わさずインストールされるよ
2021/04/26(月) 11:48:36.90ID:VA5FMeJH0
>>319
malware removerを実行すれば、そのコマンドをやる意味はない
むしろ今のスキルだと取り返しのつかない結果を招きそう
2021/04/26(月) 11:58:30.30ID:VA5FMeJH0
Qlocker に対して一番最初にやるべきことは
Malware Removerの最新版を実行すること
Qlockerがグレードアップしてたら手遅れだけど
2021/04/26(月) 12:30:24.16ID:EVzy48kp0
>>319
QNAPのほうで偽7zを用意してくれるようになったのに
それをやろうとするのがおかしい、やってはいけない

それは2回叩くと本来の7zを消す可能性があるものだし
タイミングによってはせっかく用意された偽7zを置き換えるかもしれない
確認は ls -l /usr/local/sbin/7z* だけど見てもわからないよね…

何回叩いたかは history を叩く

>>321
本当ならその記載で足りるはずなんだけど
状況を見てると「やる意味がない」ではまだ弱そうに思えてこうなってしまった
2021/04/26(月) 13:06:19.81ID:mg/pusYnM
>>320
そうですよね。4.3.6とかの古いのは手動ですよね。
2021/04/26(月) 14:02:02.88ID:GiGzrGpGM
qnap japan のtwitterに情報が出たけど
記載されてる対処方法は不十分なものだな
326不明なデバイスさん (ペラペラ SD2a-Im0W)
垢版 |
2021/04/26(月) 16:26:03.57ID:hOlEbRSlD
普段ので本来の7z使う実装ってあるのかな。

ないなら7z実行時のコマンド全部記録してから実行するように改造しておいたらいいのかな。
2021/04/26(月) 17:05:45.49ID:jvzeoYlxM
>>325
とりあえずファームアップも再起動もしないで、とにかく
Malware Removerの最新版を入れろって事ですかね。
328不明なデバイスさん (ワッチョイ 4652-zvOL)
垢版 |
2021/04/26(月) 17:59:21.55ID:mWGop00M0
>>326
マルウェア、ウィルススキャンで圧縮ファイル内をスキャンする時に使うかもね。
2021/04/26(月) 19:12:53.60ID:e4S751C10
>321,323
アドバイスありがとうございます。
そうですか、NASがガリガリ言っているのに気が付き、フォルダをのぞいたら「!!!READ_ME.txt」
と7zに圧縮されたデータを見つけ焦ってしまい、とりあえず電源と通信ケーブルを抜いてしまいました。
そしてQnapサポートからのメールとフォーラムの翻訳を頼りに上のコマンドをやってしまいました。
そうですか、取り返しのつかないことになってしまったのですか orz

2年位前にもQnap狙いのランサムにやられたときはカスペルスキーさんが提供してくれた復号プログラムで助けられました。
今回はそういう期待は難しいでしょうか
2021/04/26(月) 19:18:55.96ID:x9BXLUfM0
たったの1週間ぶりにスレ覗いたら祭り状態かよ参ったな
明確な侵入経路と侵入の痕跡の確認方法が知りたい
2021/04/26(月) 19:34:16.12ID:VA5FMeJH0
【NASをQlockerランサムウェア攻撃から守る対策】

一番最初にやることはQNAPアプリの最新の Malware Remover をインストールし、マルウェアスキャンを実行すること
一番最初にやることはQNAPアプリの最新の Malware Remover をインストールし、マルウェアスキャンを実行すること
一番最初にやることはQNAPアプリの最新の Malware Remover をインストールし、マルウェアスキャンを実行すること
一番最初にやることはQNAPアプリの最新の Malware Remover をインストールし、マルウェアスキャンを実行すること
一番最初にやることはQNAPアプリの最新の Malware Remover をインストールし、マルウェアスキャンを実行すること

電源やLANケーブルを抜かないこと
> 【NASをQlockerランサムウェア攻撃から守る対策】
>
> ランサムウェアに攻撃されている場合、以下の手順に従ってください。
>
> ?
> 最新の Malware Remover をインストールし、マルウェアスキャンを実行
> ?
> Multimedia Console、Media Streaming Add-on、Hybrid Backup Sync を最新版に更新
>
> (続く)
https://twitter.com/qnapjapan/status/1386519922176446470

一番最初にやることはQNAPアプリの最新の Malware Remover をインストールし、マルウェアスキャンを実行すること
一番最初にやることはQNAPアプリの最新の Malware Remover をインストールし、マルウェアスキャンを実行すること
一番最初にやることはQNAPアプリの最新の Malware Remover をインストールし、マルウェアスキャンを実行すること
一番最初にやることはQNAPアプリの最新の Malware Remover をインストールし、マルウェアスキャンを実行すること
一番最初にやることはQNAPアプリの最新の Malware Remover をインストールし、マルウェアスキャンを実行すること
https://twitter.com/5chan_nel (5ch newer account)
2021/04/26(月) 19:35:58.83ID:VA5FMeJH0
大事なことなので10回言いました。
2021/04/26(月) 19:45:24.12ID:65qQL2h70
今後またこういう事になったら嫌だから対策しておきたいんだけど、何しておけばいいのかな
NASのHDDの分ローカルにも同じ容量ミラーコピーしておく位しか無いのかな?
qufirewall入れてadmin無効化してても脆弱性で入られる危険性はあるんだよね?
334不明なデバイスさん (ワッチョイ d032-9mIh)
垢版 |
2021/04/26(月) 19:53:40.38ID:48Vx6E8L0
LANケーブルを抜いておく
2021/04/26(月) 20:01:55.60ID:8HD7TSMN0
うちのNASにもついさっき侵入がみつかったわ。
幸いMalware Removerを最新にしておいたので
削除されたみたいだが。
2021/04/26(月) 20:03:50.12ID:VA5FMeJH0
削除されたっていうことは既に暗号化されてるってことだよ思うけど
2021/04/26(月) 20:12:56.50ID:VA5FMeJH0
【Qlockerの情報がまとまっているサイト】
https://www.bleepingcomputer.com/forums/t/749247/qlocker-qnap-nas-ransomware-encrypting-with-extension-7z-read-metxt/
https://forum.qnap.com/viewtopic.php?f=45&;t=160849
2021/04/26(月) 20:16:00.32ID:EVzy48kp0
1. Linuxサーバの外部公開が本当に必要なのかくれぐれも検討する
2. サーバを外部公開するのであればしかるべき措置を講じる
3. 「おい、2.の詳細」と思った人は外部公開しない
4. LAN内だけの使用でも便利で楽しいよ

世界中からアクセスが来るサーバの管理者を是非ともやりたいのか
そんなこわそうな役目なんてやりたくもないのか考えてみませんか
2021/04/26(月) 21:04:02.42ID:65qQL2h70
ポートって8080から変えたほうが良いとの事なんですけど、何番が良いという決まりはあるんですか?
8081でもいいんでしょうか
2021/04/26(月) 21:14:54.03ID:sk2YU8WH0
ついさっき以下のログが発生した
qnapと関連している外部公開ポートはないし7zは見つからない
これから調べるぜ

Malware Remover Malware Removal [Malware Remover] Removed vulnerable files or folders. Malware ID: MR2102
2021/04/26(月) 21:15:19.23ID:VA5FMeJH0
8081はサーバーでよく使われるから、49152-65535の間から選ぶといい
2021/04/26(月) 21:19:24.55ID:bHsZBOV30
いつの間にか見慣れないユーザーが2つできていた。一つはwasrhereという名前、admin権限付いてた。もう一つはでたらめな文字列、消してしまったので詳細不明。Qlockerと関係あると思うんだけど。
2021/04/26(月) 21:20:11.58ID:bHsZBOV30
間違えた、名前はwasthere
2021/04/26(月) 21:25:13.42ID:8HD7TSMN0
>>340
うちもそれです。
2021/04/26(月) 21:33:55.79ID:LE3inFz70
つい今さっきMalwareRemoverからMR2102を削除したって出た
でも、検索しても.7zのファイル一つもないけど
これ助かったのかな?

でも、MalwareRemoverを最新にしたのって23日でそれから数日の定期サーチで引っかかってないのにいきなり定期じゃない20時にスキャンされて見つかってるってのが不思議
2021/04/26(月) 21:35:43.76ID:rahYZLSl0
>>340
うちも同じの出たが、これは外部からアクションがあったからなのか、みんなほぼ同時にってことは何かアプリの動作なのか
2021/04/26(月) 21:43:01.35ID:x9BXLUfM0
挙動が不明だな
QNAPの本拠がクラックされてランサム時限爆弾入りのアプリ配ったんじゃ無いかと恐れてるわ
2021/04/26(月) 21:43:33.44ID:sk2YU8WH0
>>344,346
うちはMailwareRemoverは毎晩3時に実行する設定だけど、今回は20:37の実行結果だった
今はログ調べ中だけどこれだけ散見するとミスな気もするな
とりあえず外部バックアップドライブは抜いておいた
2021/04/26(月) 21:45:01.08ID:MTPl1AMI0
>>333
QNAPのサイトには321バックアップしとけって書いてあったよ
2021/04/26(月) 21:48:22.73ID:+GDB/EtF0
>>340
うちのも今日出た、3台

OS:最新(TVS-863@4.5.2.1594、TVS-873@4.5.2.1630、TS-653D@4.5.2.1630)

3台共通で
Malware Remover:最新、昨日のスキャンでは引っかかっていない
HBS:最新
myQNAPcloud:未使用
UPnP:無効

マルチホーム構成で、QNAPサービスへのアクセスは隔離LANだけにして、
外に出るルーター側LANはサービスバインドを全て外している

*.7zも自分で作ったもの以外は無し

Malware ID: MR2102は何者なのか?
2021/04/26(月) 21:49:33.96ID:d1GC5SB30
>>340
うちにも来たよ
20:47付けで来てる

まだ7zは探せてないけど見えてるファイルは無事っぽい
2021/04/26(月) 21:52:01.10ID:51V68RHF0
>>345
うちもそれや! hbs3もマルチメディアも無いけど、443でログだけ? リムーバーのログが中途半端すぎ。
2021/04/26(月) 22:04:05.43ID:51V68RHF0
リムーバーが警告メッセージ出してるだけちゃうかな。。
アタックで何か出来たわけじゃない感じしない?
2021/04/26(月) 22:08:54.95ID:EVzy48kp0
マルウェア削除時のログが>>272 (ありがたいことに載せてくれた)

いまザワザワしてる人らのは Removed vulnerable files or folders でしょ
ついでに定義更新後にインスタントスキャンが入る設定にしてるでしょ
2021/04/26(月) 22:09:16.42ID:VA5FMeJH0
[Malware Remover] Removed vulnerable files or folders. Malware ID: MR2102

うちのでもこれが出てた、同時刻に /usr/local/sbin/7z が更新されているのでこの関係かもしれない
(定義ファイル実行後に自動的にスキャンが行われる)
海外のフォーラムで状況を見てみると…
2021/04/26(月) 22:09:17.74ID:sk2YU8WH0
https://www.reddit.com/r/qnap/comments/mwbcl3/removed_the_detected_malware_mr2102/
ここでも混乱中だね

あらためてsshでfindして7z探したけど改ざんされたものはやっぱり無かった
様子見かな
2021/04/26(月) 22:16:04.71ID:VebzV5cI0
.qpkg/MalwareRemover/.quarantine にログの時刻の隔離された?っぽいフォルダがあるが
どれが悪いんだかわからんね
2021/04/26(月) 22:27:34.59ID:sk2YU8WH0
>>357
その階層みたら2021_04_26_20_37_55.infoと2021_04_26_20_37_55.quarがあった
後者はバイナリなのでわからないけど、前者は「.qpkg/HybridBackup/rr2」内のファイルが記載されてるね
HBSのファイルを隔離したのか?
2021/04/26(月) 22:46:29.97ID:51V68RHF0
MR2102対策済みのリムーバーです!ってメッセージが出るだけで特に問題無しってことで寝ます。
2021/04/26(月) 22:52:08.70ID:VebzV5cI0
>>358
同じくこちらにもrrは2あった、そしてHBS3は毎日使用している
あとは etc/config/qsync/home/mgnt_cgi/ というのもあった
まあ、何を隔離したかログ残してよって感じではあるw
■ このスレッドは過去ログ倉庫に格納されています
5ちゃんねるの広告が気に入らない場合は、こちらをクリックしてください。