【静音・高機能NAS】QNAP part56【自宅サーバ】

[1 不明なデバイスさん (ｵｯﾍﾟｹ Srf7-X6xk) 2021/04/22(木) 15:58:45.35 ID:gJ+wWukAr]

※次スレは>>970踏んだ方が立てて下さい。立てる時は1行目に !extend:checked:vvvvv:1000:512 をお忘れなく。

静音・高速・高性能なNASサーバ、QNAPのアプライアンス製品のスレ
NASを使う際に気になる点、速度・機能・静音などを高いレベルで満たす数少ない製品です
NASは初めての方から、標準搭載の各種機能が目的の方、データ保全とセキュリティが重要な業務用途、
Linuxベースの自宅サーバが欲しい方まで、幅広いユーザに最適です
QNAPは台湾のメーカーですが、マニュアルからユーティリティまで完全日本語対応です

・オフィシャルサイト： https://www.qnap.com/ja-jp/
QNAP NAS Community Forum　https://forum.qnap.com/
保証情報　https://www.qnap.com/ja-jp/service_ask/
販売/流通ルートは(海外通販や並行輸入品なども含めて)幾つもあります
正規代理店も複数あるので、故障時の手間や保証サポートのことも考えて、好きな流通経路のものを

関連サイト
・QNAP Club Japan　https://www.qnapclub.jp/

関連スレ
NAS総合スレPart31 (LAN接続HDD)
https://mevius.5ch.net/test/read.cgi/hard/1566794151/

前スレ・過去スレ：【静音・高機能NAS】
part49 https://mevius.5ch.net/test/read.cgi/hard/1569008532/
part50 https://mevius.5ch.net/test/read.cgi/hard/1577438170/
part51
https://mevius.5ch.net/test/read.cgi/hard/1583806285/
part52
https://mevius.5ch.net/test/read.cgi/hard/1591197765/
part53
https://mevius.5ch.net/test/read.cgi/hard/1597666162/
【静音・高機能NAS】QNAP part54【自宅サーバ】
https://mevius.5ch.net/test/read.cgi/hard/1607608227/
【静音・高機能NAS】QNAP part55【自宅サーバ】
https://mevius.5ch.net/test/read.cgi/hard/1615087933/

---

VIPQ2_EXTDAT: checked:vvvvv:1000:512:: EXT was configured

[284 不明なデバイスさん (ﾜｯﾁｮｲ df36-Rk3w) 2021/04/25(日) 11:45:41.44 ID:yQmWuWYL0]

あと、windowdsのフリーアプリの「お〜瑠璃ね〜む」で一括リネームできるかも

[285 不明なデバイスさん (ﾜｯﾁｮｲ 4259-o8NC) 2021/04/25(日) 11:50:43.78 ID:/RFz17op0]

>>283
最初にシャットダウンしちゃったんだ

[286 不明なデバイスさん (ﾜｯﾁｮｲ df36-Rk3w) 2021/04/25(日) 12:04:20.87 ID:yQmWuWYL0]

インストールさえしていればmalware removerは自動更新なので感染した時期が遅ければ7z.logがある可能性はちょっとだけある

[287 不明なデバイスさん (ﾜｯﾁｮｲ 9a4b-XmRv) 2021/04/25(日) 12:18:36.46 ID:X5re0GUb0]

普通被害拡大を考えてシャットダウンするよね…

[288 不明なデバイスさん (ﾜｯﾁｮｲ dcad-sVZV) 2021/04/25(日) 12:35:13.00 ID:nQHR7+0/0]

手順書.txt でなく マクロ手順.txt だと思うんだけど…
これが動く環境の人は自力で解決しちゃう人じゃないかと書いてから気づいた

#!/usr/bin/env perl
use Encode;
#use HTML::Entities;
my $terminal = 'cp932'; # 環境に合わせて cp932 とか utf8 とか選ぶ

# while (<>) { # 実際はこっちで hoge.pl < encoded.list > decoded.list する
while (<DATA>) {
　# print encode($terminal, decode('utf8', decode_entities($_))), "\n";
　s/&#(\d+);/pack('C', $1)/ge;
　print encode($terminal, decode('utf8', $_)), "\n";
}

__DATA__
&#227;&#131;&#158;&#227;&#130;&#175;&#227;&#131;&#173;&#230;&#137;&#139;&#233;&#160;&#134;.txt

[289 不明なデバイスさん (ﾜｯﾁｮｲ df36-BZjc) 2021/04/25(日) 12:43:31.47 ID:yQmWuWYL0]

>>284
Flexible Renamerで"\f.\e"でいけるぽい

[290 不明なデバイスさん (ﾜｯﾁｮｲ b6b7-msKI) 2021/04/25(日) 13:01:37.11 ID:QFz+payI0]

結局感染ルートは何だったの？

[291 不明なデバイスさん (ｻｻｸｯﾃﾛﾗ Spc1-HbPS) 2021/04/25(日) 13:12:20.56 ID:xz7Kji8Fp]

272です。
qnapから問い合わせの返答がありました。
仕事中なので詳しくはまたカキコしようと思いますが、logを取得できるのは暗号化が実行中の時のようです。
マルウェアリムーバーがウイルスの実行中に削除していればlogが残るということかもしれません(これは推測)

[292 不明なデバイスさん (ﾜｯﾁｮｲ 4259-o8NC) 2021/04/25(日) 13:20:59.31 ID:/RFz17op0]

>>287
ケーブル抜いてシャットダウンしないが正解だったんだろうけど
シャットダウンしなかったら暗号化がさらに進むからねえ
海外フォーラム見てたら7z.log吐き出させる手段が見れてた時刻なんだが
本当に失敗したよ

[293 不明なデバイスさん (ﾜｯﾁｮｲ dc3d-2tiM) 2021/04/25(日) 13:43:39.02 ID:yK5iDcHU0]

>>55
4/22には再起動しない方がいいかもって情報あった

[294 不明なデバイスさん (ﾜｯﾁｮｲ c001-m0US) 2021/04/25(日) 14:10:27.69 ID:MioQnPzi0]

malware removerって元々入れておくようなソフトだったのか…

[295 不明なデバイスさん (ﾜｯﾁｮｲ f87d-On6t) 2021/04/25(日) 14:15:07.08 ID:CckfsOgo0]

会社でQNAP使っててやられたところは大変だろうなぁ

[296 不明なデバイスさん (ﾜｯﾁｮｲ dc3d-2tiM) 2021/04/25(日) 15:03:02.22 ID:yK5iDcHU0]

月曜からこのスレに質問殺到したりしてなw

[297 不明なデバイスさん (ｵｲｺﾗﾐﾈｵ MM71-tA8s) 2021/04/25(日) 15:13:25.90 ID:QwdyEIdTM]

UPnPは無効にした、危険って分かっていながら使ってたけどこういうことがあると使い辛い
いろいろ対応を考えないと今まで通りに使えなくなってしまうからつらい
なんだかコロナみたいだ

[298 不明なデバイスさん (ﾜｯﾁｮｲ ae81-On6t) 2021/04/25(日) 15:22:40.04 ID:gS7vO+4K0]

気が付かずにいて、今この瞬間も7z化が進行してるやつがいるんだろうね。

[299 不明なデバイスさん (ﾜｯﾁｮｲ ae81-On6t) 2021/04/25(日) 15:26:59.49 ID:gS7vO+4K0]

インターネットに公開するってこういうことなんだよな。
ちょっとしたことが簡単に致命傷になってしまうけど、全部自己責任。

[300 不明なデバイスさん (ﾜｯﾁｮｲ 9a4b-XmRv) 2021/04/25(日) 16:32:29.95 ID:X5re0GUb0]

今回は規模がそれなりに大きそうだから捜査機関が動いて逮捕されそうな気もするけどロシアとかだとなぁ

[301 不明なデバイスさん (ﾜｯﾁｮｲ b6b7-msKI) 2021/04/25(日) 17:23:37.73 ID:QFz+payI0]

Multimediaフォルダ配下のファイルに7zが無ければ安心してよいのかな

[302 不明なデバイスさん (ﾜｯﾁｮｲ e75f-is1i) 2021/04/25(日) 18:17:03.31 ID:JDKfD28P0]

初歩的な質問ですまん
現時点でやられて暗号化され始めているかどうかはFile Stationで7zファイルを検索して判断はまずいのかな。
とりあえず2021年以降に生成された7zファイルは無かった

ログでも怪しい履歴はなさそう
Malware RemoverはこれからDLしてスキャンします。
今後のための対処はAdmin無効化済、
ポート変更はこの後対応します

[303 不明なデバイスさん (ﾜｯﾁｮｲ df36-BZjc) 2021/04/25(日) 18:18:47.88 ID:yQmWuWYL0]

一番最初にやるべきことは7zファイルを探すことではなく
Malware Removerの最新版を実行すること

[304 不明なデバイスさん (ﾜｯﾁｮｲ df36-BZjc) 2021/04/25(日) 18:19:47.04 ID:yQmWuWYL0]

一番最初にやるべきことは7zファイルを探すことではなく
Malware Removerの最新版を実行すること

大事なことななので

[305 不明なデバイスさん (ﾜｯﾁｮｲ 6fa0-b+U1) 2021/04/25(日) 19:01:48.59 ID:ef9ROGi40]

QTSのサポート4.5.xまでだった機種が軒並み「完全」まで延びてね？

[306 不明なデバイスさん (ﾜｯﾁｮｲ dc3d-2tiM) 2021/04/25(日) 19:50:17.61 ID:yK5iDcHU0]

HBSって同期先のフォルダ設定するとlatestとか勝手に階層切ってくるけど既にrsyncとかで手動で同期してた既存のバックアップ先のフォルダがある場合にそのファイル群を生かして差分だけHBSでバックアップさせるのって無理かな。
1から全部削除してコピーし直すのが無駄だなーと。

[307 不明なデバイスさん (ﾜｯﾁｮｲ 8cbb-On6t) 2021/04/25(日) 20:00:16.17 ID:rUNfU2qg0]

もしランサムウェアにやられて直ぐには対処できな場合、ひとまずそのNASをネットから切り離して
新しい機材ですぐにNASを構築することも検討すると思うけど今はHDDが無い！って場合もありそう

[308 不明なデバイスさん (ﾜｯﾁｮｲ 2ecb-RU/7) 2021/04/25(日) 20:43:17.66 ID:jW+oyIhZ0]

>>305

当方 x51 持ちだが、伸びてるね。
EOL に向けて買い替えを検討していたが。

[309 不明なデバイスさん (ｱｳｱｳｳｰ Sa83-zvOL) 2021/04/25(日) 21:50:48.70 ID:uRyqKbEEa]

>>305
本当だ、伸びてますね。
情報ありがとう！

[310 不明なデバイスさん (ﾜｯﾁｮｲ df10-HEcZ) 2021/04/25(日) 22:08:12.58 ID:x4GA2QAQ0]

バックアップ用にHDD欲しいんだけどな

マイナーも転売屋も絶滅しろ

[311 不明なデバイスさん (ﾜｯﾁｮｲ e201-Im0W) 2021/04/25(日) 22:36:41.21 ID:pOyrI8Mu0]

278です。月末と言うこともあり仕事建て込みで移動先で見てます。

>>280
ありがとうございます。エンコードの設定して確認してみます。
https://qiita.com/DaikichiDaze/items/4754352da1652d03dc85

windows上で一括ファイル名変換。
.7zファイルのファイル名群をリスト化
解凍後に　一括変換。
なんとなくわかりました。時間ができたときにやってみます。

[312 不明なデバイスさん (ﾜｯﾁｮｲ 3868-On6t) 2021/04/25(日) 23:46:00.16 ID:WZ6eeCr10]

>>305
そうなんですよね、以前のリストに戻っているような気がします
TS-x73Aの表記も消えていますし

[313 不明なデバイスさん (ﾜｯﾁｮｲ e75f-is1i) 2021/04/25(日) 23:53:00.17 ID:JDKfD28P0]

>>310
今日はpaypay高還元だから外付けHDD8TB買った。
バックアップ大事だね。

[314 不明なデバイスさん (ﾜｯﾁｮｲ c001-m0US) 2021/04/25(日) 23:55:03.76 ID:MioQnPzi0]

admin無効化にした場合って、今まで使ってたアプリはQTSのトップページに表示すること出来ないの？
appcenterから表示先を全ユーザメニューにしても出てくれないんだけど

[315 不明なデバイスさん (ﾜｯﾁｮｲ 3868-On6t) 2021/04/25(日) 23:59:43.97 ID:WZ6eeCr10]

>>314
メインメニューからのドラッグアンドドロップで可能ですよ

[316 不明なデバイスさん (ﾜｯﾁｮｲ c001-m0US) 2021/04/26(月) 00:59:08.34 ID:65qQL2h70]

>>315
ありがとう！そこから出来たんだね

[317 不明なデバイスさん (ﾜｯﾁｮｲ df10-HEcZ) 2021/04/26(月) 01:36:01.17 ID:dqDH3VAh0]

HBS3を最新版にアップデートしたらRTRRサーバーの設定が吹き飛んだ
一度アンインストールしたら直ったけど

ルーター新調した直後に同期がエラー起こしたので、ルーター設定を疑ってて時間がかかったわ

[318 不明なデバイスさん (ﾌﾞｰｲﾓ MM5e-HDr5) 2021/04/26(月) 09:37:00.63 ID:gGwXjvxDM]

これmalware removerって手動で入れないといけないんかな。

[319 不明なデバイスさん (ﾜｯﾁｮｲ 4602-3cD6) 2021/04/26(月) 10:17:46.83 ID:e4S751C10]

教えてください。

Puttyで

cd /usr/local/sbin; printf '#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;

をコピペしようとすると

<z.log\nsleep 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;

と入力されてしまうのですが、何がおかしいのでしょうか

[320 不明なデバイスさん (ﾜｯﾁｮｲ 6fa0-b+U1) 2021/04/26(月) 11:47:51.27 ID:Dj1F5Gui0]

>>318
QTS4.5.xならQTS初期化したら有無を言わさずインストールされるよ

[321 不明なデバイスさん (ﾜｯﾁｮｲ df36-Rk3w) 2021/04/26(月) 11:48:36.90 ID:VA5FMeJH0]

>>319
malware removerを実行すれば、そのコマンドをやる意味はない
むしろ今のスキルだと取り返しのつかない結果を招きそう

[322 不明なデバイスさん (ﾜｯﾁｮｲ df36-Rk3w) 2021/04/26(月) 11:58:30.30 ID:VA5FMeJH0]

Qlocker に対して一番最初にやるべきことは
Malware Removerの最新版を実行すること
Qlockerがグレードアップしてたら手遅れだけど

[323 不明なデバイスさん (ﾜｯﾁｮｲ dcad-sVZV) 2021/04/26(月) 12:30:24.16 ID:EVzy48kp0]

>>319
QNAPのほうで偽7zを用意してくれるようになったのに
それをやろうとするのがおかしい、やってはいけない

それは2回叩くと本来の7zを消す可能性があるものだし
タイミングによってはせっかく用意された偽7zを置き換えるかもしれない
確認は ls -l /usr/local/sbin/7z* だけど見てもわからないよね…

何回叩いたかは history を叩く

>>321
本当ならその記載で足りるはずなんだけど
状況を見てると「やる意味がない」ではまだ弱そうに思えてこうなってしまった

[324 不明なデバイスさん (ﾌﾞｰｲﾓ MM5e-HDr5) 2021/04/26(月) 13:06:19.81 ID:mg/pusYnM]

>>320
そうですよね。4.3.6とかの古いのは手動ですよね。

[325 不明なデバイスさん (ﾌﾞｰｲﾓ MMed-Rk3w) 2021/04/26(月) 14:02:02.88 ID:GiGzrGpGM]

qnap japan のtwitterに情報が出たけど
記載されてる対処方法は不十分なものだな

[326 不明なデバイスさん (ﾍﾟﾗﾍﾟﾗ SD2a-Im0W) 2021/04/26(月) 16:26:03.57 ID:hOlEbRSlD]

普段ので本来の7z使う実装ってあるのかな。

ないなら7z実行時のコマンド全部記録してから実行するように改造しておいたらいいのかな。

[327 不明なデバイスさん (ﾌﾞｰｲﾓ MM5e-HDr5) 2021/04/26(月) 17:05:45.49 ID:jvzeoYlxM]

>>325
とりあえずファームアップも再起動もしないで、とにかく
Malware Removerの最新版を入れろって事ですかね。

[328 不明なデバイスさん (ﾜｯﾁｮｲ 4652-zvOL) 2021/04/26(月) 17:59:21.55 ID:mWGop00M0]

>>326
マルウェア、ウィルススキャンで圧縮ファイル内をスキャンする時に使うかもね。

[329 319 (ﾜｯﾁｮｲ 4602-3cD6) 2021/04/26(月) 19:12:53.60 ID:e4S751C10]

>321,323
アドバイスありがとうございます。
そうですか、NASがガリガリ言っているのに気が付き、フォルダをのぞいたら「!!!READ_ME.txt」
と7zに圧縮されたデータを見つけ焦ってしまい、とりあえず電源と通信ケーブルを抜いてしまいました。
そしてQnapサポートからのメールとフォーラムの翻訳を頼りに上のコマンドをやってしまいました。
そうですか、取り返しのつかないことになってしまったのですか orz

2年位前にもQnap狙いのランサムにやられたときはカスペルスキーさんが提供してくれた復号プログラムで助けられました。
今回はそういう期待は難しいでしょうか

[330 不明なデバイスさん (ﾜｯﾁｮｲ fb54-On6t) 2021/04/26(月) 19:18:55.96 ID:x9BXLUfM0]

たったの1週間ぶりにスレ覗いたら祭り状態かよ参ったな
明確な侵入経路と侵入の痕跡の確認方法が知りたい

[331 不明なデバイスさん (ﾜｯﾁｮｲ df36-BZjc) 2021/04/26(月) 19:34:16.12 ID:VA5FMeJH0]

【NASをQlockerランサムウェア攻撃から守る対策】

一番最初にやることはQNAPアプリの最新の Malware Remover をインストールし、マルウェアスキャンを実行すること
一番最初にやることはQNAPアプリの最新の Malware Remover をインストールし、マルウェアスキャンを実行すること
一番最初にやることはQNAPアプリの最新の Malware Remover をインストールし、マルウェアスキャンを実行すること
一番最初にやることはQNAPアプリの最新の Malware Remover をインストールし、マルウェアスキャンを実行すること
一番最初にやることはQNAPアプリの最新の Malware Remover をインストールし、マルウェアスキャンを実行すること

電源やLANケーブルを抜かないこと
> 【NASをQlockerランサムウェア攻撃から守る対策】
>
> ランサムウェアに攻撃されている場合、以下の手順に従ってください。
>
> ?
> 最新の Malware Remover をインストールし、マルウェアスキャンを実行
> ?
> Multimedia Console、Media Streaming Add-on、Hybrid Backup Sync を最新版に更新
>
> （続く）
https://twitter.com/qnapjapan/status/1386519922176446470

一番最初にやることはQNAPアプリの最新の Malware Remover をインストールし、マルウェアスキャンを実行すること
一番最初にやることはQNAPアプリの最新の Malware Remover をインストールし、マルウェアスキャンを実行すること
一番最初にやることはQNAPアプリの最新の Malware Remover をインストールし、マルウェアスキャンを実行すること
一番最初にやることはQNAPアプリの最新の Malware Remover をインストールし、マルウェアスキャンを実行すること
一番最初にやることはQNAPアプリの最新の Malware Remover をインストールし、マルウェアスキャンを実行すること
https://twitter.com/5chan_nel (5ch newer account)

[332 不明なデバイスさん (ﾜｯﾁｮｲ df36-BZjc) 2021/04/26(月) 19:35:58.83 ID:VA5FMeJH0]

大事なことなので10回言いました。

[333 不明なデバイスさん (ﾜｯﾁｮｲ c001-m0US) 2021/04/26(月) 19:45:24.12 ID:65qQL2h70]

今後またこういう事になったら嫌だから対策しておきたいんだけど、何しておけばいいのかな
NASのHDDの分ローカルにも同じ容量ミラーコピーしておく位しか無いのかな？
qufirewall入れてadmin無効化してても脆弱性で入られる危険性はあるんだよね？

[334 不明なデバイスさん (ﾜｯﾁｮｲ d032-9mIh) 2021/04/26(月) 19:53:40.38 ID:48Vx6E8L0]

LANケーブルを抜いておく

[335 不明なデバイスさん (ﾜｯﾁｮｲ 47ad-On6t) 2021/04/26(月) 20:01:55.60 ID:8HD7TSMN0]

うちのNASにもついさっき侵入がみつかったわ。
幸いMalware Removerを最新にしておいたので
削除されたみたいだが。

[336 不明なデバイスさん (ﾜｯﾁｮｲ df36-BZjc) 2021/04/26(月) 20:03:50.12 ID:VA5FMeJH0]

削除されたっていうことは既に暗号化されてるってことだよ思うけど

[337 不明なデバイスさん (ﾜｯﾁｮｲ df36-BZjc) 2021/04/26(月) 20:12:56.50 ID:VA5FMeJH0]

【Qlockerの情報がまとまっているサイト】
https://www.bleepingcomputer.com/forums/t/749247/qlocker-qnap-nas-ransomware-encrypting-with-extension-7z-read-metxt/
https://forum.qnap.com/viewtopic.php?f=45&;t=160849

[338 不明なデバイスさん (ﾜｯﾁｮｲ dcad-sVZV) 2021/04/26(月) 20:16:00.32 ID:EVzy48kp0]

1. Linuxサーバの外部公開が本当に必要なのかくれぐれも検討する
2. サーバを外部公開するのであればしかるべき措置を講じる
3. 「おい、2.の詳細」と思った人は外部公開しない
4. LAN内だけの使用でも便利で楽しいよ

世界中からアクセスが来るサーバの管理者を是非ともやりたいのか
そんなこわそうな役目なんてやりたくもないのか考えてみませんか

[339 不明なデバイスさん (ﾜｯﾁｮｲ c001-m0US) 2021/04/26(月) 21:04:02.42 ID:65qQL2h70]

ポートって8080から変えたほうが良いとの事なんですけど、何番が良いという決まりはあるんですか？
8081でもいいんでしょうか

[340 不明なデバイスさん (ﾜｯﾁｮｲ 8b10-On6t) 2021/04/26(月) 21:14:54.03 ID:sk2YU8WH0]

ついさっき以下のログが発生した
qnapと関連している外部公開ポートはないし7zは見つからない
これから調べるぜ

Malware Remover Malware Removal [Malware Remover] Removed vulnerable files or folders. Malware ID: MR2102

[341 不明なデバイスさん (ﾜｯﾁｮｲ df36-BZjc) 2021/04/26(月) 21:15:19.23 ID:VA5FMeJH0]

8081はサーバーでよく使われるから、49152-65535の間から選ぶといい

[342 不明なデバイスさん (ﾜｯﾁｮｲ 06e4-iCxJ) 2021/04/26(月) 21:19:24.55 ID:bHsZBOV30]

いつの間にか見慣れないユーザーが2つできていた。一つはwasrhereという名前、admin権限付いてた。もう一つはでたらめな文字列、消してしまったので詳細不明。Qlockerと関係あると思うんだけど。

[343 不明なデバイスさん (ﾜｯﾁｮｲ 06e4-iCxJ) 2021/04/26(月) 21:20:11.58 ID:bHsZBOV30]

間違えた、名前はwasthere

[344 不明なデバイスさん (ﾜｯﾁｮｲ 47ad-On6t) 2021/04/26(月) 21:25:13.42 ID:8HD7TSMN0]

>>340
うちもそれです。

[345 不明なデバイスさん (ﾜｯﾁｮｲ cf5f-UryE) 2021/04/26(月) 21:33:55.79 ID:LE3inFz70]

つい今さっきMalwareRemoverからMR2102を削除したって出た
でも、検索しても.7zのファイル一つもないけど
これ助かったのかな？

でも、MalwareRemoverを最新にしたのって23日でそれから数日の定期サーチで引っかかってないのにいきなり定期じゃない20時にスキャンされて見つかってるってのが不思議

[346 不明なデバイスさん (ﾜｯﾁｮｲ e75f-12fG) 2021/04/26(月) 21:35:43.76 ID:rahYZLSl0]

>>340
うちも同じの出たが、これは外部からアクションがあったからなのか、みんなほぼ同時にってことは何かアプリの動作なのか

[347 不明なデバイスさん (ﾜｯﾁｮｲ fb54-On6t) 2021/04/26(月) 21:43:01.35 ID:x9BXLUfM0]

挙動が不明だな
QNAPの本拠がクラックされてランサム時限爆弾入りのアプリ配ったんじゃ無いかと恐れてるわ

[348 不明なデバイスさん (ﾜｯﾁｮｲ 8b10-On6t) 2021/04/26(月) 21:43:33.44 ID:sk2YU8WH0]

>>344,346
うちはMailwareRemoverは毎晩3時に実行する設定だけど、今回は20:37の実行結果だった
今はログ調べ中だけどこれだけ散見するとミスな気もするな
とりあえず外部バックアップドライブは抜いておいた

[349 不明なデバイスさん (ﾜｯﾁｮｲ f87d-On6t) 2021/04/26(月) 21:45:01.08 ID:MTPl1AMI0]

>>333
QNAPのサイトには321バックアップしとけって書いてあったよ

[350 不明なデバイスさん (ﾜｯﾁｮｲ 245f-On6t) 2021/04/26(月) 21:48:22.73 ID:+GDB/EtF0]

>>340
うちのも今日出た、3台

OS：最新（TVS-863@4.5.2.1594、TVS-873@4.5.2.1630、TS-653D@4.5.2.1630）

3台共通で
Malware Remover：最新、昨日のスキャンでは引っかかっていない
HBS：最新
myQNAPcloud：未使用
UPnP：無効

マルチホーム構成で、QNAPサービスへのアクセスは隔離LANだけにして、
外に出るルーター側LANはサービスバインドを全て外している

*.7zも自分で作ったもの以外は無し

Malware ID: MR2102は何者なのか？

[351 不明なデバイスさん (ﾜｯﾁｮｲ b0b1-UCah) 2021/04/26(月) 21:49:33.96 ID:d1GC5SB30]

>>340
うちにも来たよ
20:47付けで来てる

まだ7zは探せてないけど見えてるファイルは無事っぽい

[352 不明なデバイスさん (ﾜｯﾁｮｲ 5e36-XuTf) 2021/04/26(月) 21:52:01.10 ID:51V68RHF0]

>>345
うちもそれや！　hbs3もマルチメディアも無いけど、443でログだけ？　リムーバーのログが中途半端すぎ。

[353 不明なデバイスさん (ﾜｯﾁｮｲ 5e36-XuTf) 2021/04/26(月) 22:04:05.43 ID:51V68RHF0]

リムーバーが警告メッセージ出してるだけちゃうかな。。
アタックで何か出来たわけじゃない感じしない？

[354 不明なデバイスさん (ﾜｯﾁｮｲ dcad-sVZV) 2021/04/26(月) 22:08:54.95 ID:EVzy48kp0]

マルウェア削除時のログが>>272　（ありがたいことに載せてくれた）

いまザワザワしてる人らのは Removed vulnerable files or folders でしょ
ついでに定義更新後にインスタントスキャンが入る設定にしてるでしょ

[355 不明なデバイスさん (ﾜｯﾁｮｲ df36-BZjc) 2021/04/26(月) 22:09:16.42 ID:VA5FMeJH0]

[Malware Remover] Removed vulnerable files or folders. Malware ID: MR2102

うちのでもこれが出てた、同時刻に /usr/local/sbin/7z が更新されているのでこの関係かもしれない
(定義ファイル実行後に自動的にスキャンが行われる)
海外のフォーラムで状況を見てみると…

[356 不明なデバイスさん (ﾜｯﾁｮｲ 8b10-On6t) 2021/04/26(月) 22:09:17.74 ID:sk2YU8WH0]

https://www.reddit.com/r/qnap/comments/mwbcl3/removed_the_detected_malware_mr2102/
ここでも混乱中だね

あらためてsshでfindして7z探したけど改ざんされたものはやっぱり無かった
様子見かな

[357 不明なデバイスさん (ﾜｯﾁｮｲ 8cbb-On6t) 2021/04/26(月) 22:16:04.71 ID:VebzV5cI0]

.qpkg/MalwareRemover/.quarantine にログの時刻の隔離された？っぽいフォルダがあるが
どれが悪いんだかわからんね

[358 不明なデバイスさん (ﾜｯﾁｮｲ 8b10-On6t) 2021/04/26(月) 22:27:34.59 ID:sk2YU8WH0]

>>357
その階層みたら2021_04_26_20_37_55.infoと2021_04_26_20_37_55.quarがあった
後者はバイナリなのでわからないけど、前者は「.qpkg/HybridBackup/rr2」内のファイルが記載されてるね
HBSのファイルを隔離したのか？

[359 不明なデバイスさん (ﾜｯﾁｮｲ 5e36-XuTf) 2021/04/26(月) 22:46:29.97 ID:51V68RHF0]

MR2102対策済みのリムーバーです！ってメッセージが出るだけで特に問題無しってことで寝ます。

[360 357 (ﾜｯﾁｮｲ 8cbb-On6t) 2021/04/26(月) 22:52:08.70 ID:VebzV5cI0]

>>358
同じくこちらにもrrは2あった、そしてHBS3は毎日使用している
あとは etc/config/qsync/home/mgnt_cgi/ というのもあった
まあ、何を隔離したかログ残してよって感じではあるｗ

[361 不明なデバイスさん (ﾜｯﾁｮｲ 4652-zvOL) 2021/04/26(月) 23:55:53.20 ID:mWGop00M0]

>>339
自分なら、そんな推測されやすいポートにはしない。

[362 不明なデバイスさん (ﾜｯﾁｮｲ cf5f-8KU9) 2021/04/27(火) 00:01:56.95 ID:YQoc45dk0]

>>339
どうせなら8801にしなよ

[363 不明なデバイスさん (ﾜｯﾁｮｲ 3868-On6t) 2021/04/27(火) 00:07:57.77 ID:DxIJxJkl0]

>>362
PC-8801ですね

[364 不明なデバイスさん (ﾜｯﾁｮｲ 3868-On6t) 2021/04/27(火) 00:12:14.07 ID:DxIJxJkl0]

>>361
推測されにくいポートの方が良いでしょうけどデフォルトから変更した時点で
攻撃としては総当たり対象側の可能性が高いので、変更する事には意味が
あるとは思います。

[365 不明なデバイスさん (ﾜｯﾁｮｲ 06c3-Bsub) 2021/04/27(火) 00:32:21.66 ID:XJzYtoyJ0]

何でここまでされてQnapから移らんの？

[366 不明なデバイスさん (ﾜｯﾁｮｲ 9b5f-2tiM) 2021/04/27(火) 00:37:20.22 ID:ky21RMtB0]

昔からVPN経由でしか外部からのアクセスを許可してなかったんだけどmyqnapcloud設定すると生でwebサーバ公開するの？
ルータがあるときはupnpでポート変換で。

[367 不明なデバイスさん (ﾜｯﾁｮｲ df36-BZjc) 2021/04/27(火) 00:45:21.62 ID:FVH+VKWJ0]

はい

[368 不明なデバイスさん (ﾜｯﾁｮｲ a282-On6t) 2021/04/27(火) 00:53:38.40 ID:qKnJaxv+0]

金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ

[369 不明なデバイスさん (ﾜﾝﾄﾝｷﾝ MM88-COaZ) 2021/04/27(火) 02:51:46.62 ID:YJh8w1vuM]

馬鹿な連中が騒いでいるだけか

[370 不明なデバイスさん (ﾜｯﾁｮｲ b6b7-msKI) 2021/04/27(火) 05:50:58.87 ID:/jB9WuHH0]

QNAP対応グダグダ杉
malware removerが大事なファイルを誤認削除もワンチャンあるでこれ

[371 不明なデバイスさん (ﾜｯﾁｮｲ a45f-yH17) 2021/04/27(火) 06:04:42.66 ID:UQ8QheRF0]

HBSが今回の件の後バージョンアップしてから、メチャメチャ遅くなったような気がするのは気のせいなんかな。

[372 不明なデバイスさん (ﾃﾃﾝﾃﾝﾃﾝ MM34-KW5B) 2021/04/27(火) 06:27:35.69 ID:4J2F8LUOM]

大事なファイルはクラウドとBD-Rだな。つくづく思った

[373 不明なデバイスさん (ﾜｯﾁｮｲ e6e8-jaYo) 2021/04/27(火) 06:44:25.57 ID:zCP5CThV0]

>>372
どこが安全ちゅうこともないよ。方法と場所を分けるって意味ならその通り。

[374 不明なデバイスさん (ﾜｯﾁｮｲ 1ab6-sVZV) 2021/04/27(火) 07:23:10.77 ID:0R2cPWfq0]

>>356
関連のところで今見たが
QNAPDaniel
QNAP OFFICIAL SUPPORT
This MR2102 message from Malware remover does not mean you were infected. It means some vulnerability in HBS3 was found and patched.

This scared a lot of people. So I think we are going to try to reword this message.

今回のはどう見ても火に油注いでるね

[375 不明なデバイスさん (ﾜｯﾁｮｲ c2ab-T6Cp) 2021/04/27(火) 08:38:28.06 ID:VQiesfs40]

公式のFAQ出てた
https://www.qnap.com/en/how-to/faq/article/what-should-i-do-when-found-nas-is-encrypting-my-files-by-7z

[376 不明なデバイスさん (ﾜｯﾁｮｲ 9b5f-bzv4) 2021/04/27(火) 08:44:06.41 ID:hLIslc8h0]

>>372
今回のはHBS3が侵入経路っぽくてHBS3でクラウド同期してた人が食らってる

[377 不明なデバイスさん (ﾜｯﾁｮｲ 2e22-AO4R) 2021/04/27(火) 09:55:15.70 ID:w2DbBJ000]

>>376
うちはHBS3でクラウドとローカル同期してるけど被害なかった。
セキュリティを厳しめで外部からはVPNのみにしたのが良かったのかな。

[378 不明なデバイスさん (ﾜｯﾁｮｲ 6fa0-b+U1) 2021/04/27(火) 12:32:18.68 ID:UX4kHmZP0]

>>376
ソースあるの？

[379 不明なデバイスさん (ﾜｯﾁｮｲ 9b5f-bzv4) 2021/04/27(火) 13:08:04.68 ID:hLIslc8h0]

ここの過去ログたけど？

[380 不明なデバイスさん (ﾜｯﾁｮｲ 4163-SFxq) 2021/04/27(火) 13:19:35.51 ID:WaNIqjbX0]

>>264
https://qiita.com/arene-calix/items/41d8d4ba572f1d652727

[381 不明なデバイスさん (ｴｱﾍﾟﾗ SD5a-Q9US) 2021/04/27(火) 13:38:20.32 ID:hbFtYouvD]

>>378

>>375

[382 不明なデバイスさん (ﾜｯﾁｮｲ 6fa0-b+U1) 2021/04/27(火) 13:57:56.77 ID:UX4kHmZP0]

>>381
HBS3に脆弱性があるのは正しいけど、クラウド同期してたから侵入されたのかは不明じゃないの？

[383 不明なデバイスさん (ﾜﾝﾐﾝｸﾞｸ MMb8-XmRv) 2021/04/27(火) 14:06:55.22 ID:Xc17LwHuM]

みんなはいつ頃被害受けた？
私は21日の深夜から9時くらいまでなんだけど（タイムスタンプ）