【静音・高機能NAS】QNAP part56【自宅サーバ】

**不明なデバイスさん** (ｵｯﾍﾟｹ Srf7-X6xk) · 2021/04/22(木) 15:58:45.35

※次スレは>>970踏んだ方が立てて下さい。立てる時は1行目に !extend:checked:vvvvv:1000:512 をお忘れなく。

静音・高速・高性能なNASサーバ、QNAPのアプライアンス製品のスレ
NASを使う際に気になる点、速度・機能・静音などを高いレベルで満たす数少ない製品です
NASは初めての方から、標準搭載の各種機能が目的の方、データ保全とセキュリティが重要な業務用途、
Linuxベースの自宅サーバが欲しい方まで、幅広いユーザに最適です
QNAPは台湾のメーカーですが、マニュアルからユーティリティまで完全日本語対応です

・オフィシャルサイト： https://www.qnap.com/ja-jp/
QNAP NAS Community Forum　https://forum.qnap.com/
保証情報　https://www.qnap.com/ja-jp/service_ask/
販売/流通ルートは(海外通販や並行輸入品なども含めて)幾つもあります
正規代理店も複数あるので、故障時の手間や保証サポートのことも考えて、好きな流通経路のものを

関連サイト
・QNAP Club Japan　https://www.qnapclub.jp/

関連スレ
NAS総合スレPart31 (LAN接続HDD)
https://mevius.5ch.net/test/read.cgi/hard/1566794151/

前スレ・過去スレ：【静音・高機能NAS】
part49 https://mevius.5ch.net/test/read.cgi/hard/1569008532/
part50 https://mevius.5ch.net/test/read.cgi/hard/1577438170/
part51
https://mevius.5ch.net/test/read.cgi/hard/1583806285/
part52
https://mevius.5ch.net/test/read.cgi/hard/1591197765/
part53
https://mevius.5ch.net/test/read.cgi/hard/1597666162/
【静音・高機能NAS】QNAP part54【自宅サーバ】
https://mevius.5ch.net/test/read.cgi/hard/1607608227/
【静音・高機能NAS】QNAP part55【自宅サーバ】
https://mevius.5ch.net/test/read.cgi/hard/1615087933/

VIPQ2_EXTDAT: checked:vvvvv:1000:512:: EXT was configured

**不明なデバイスさん** (ﾜｯﾁｮｲ dc3d-2tiM) · 2021/04/25(日) 19:50:17.61

HBSって同期先のフォルダ設定するとlatestとか勝手に階層切ってくるけど既にrsyncとかで手動で同期してた既存のバックアップ先のフォルダがある場合にそのファイル群を生かして差分だけHBSでバックアップさせるのって無理かな。
1から全部削除してコピーし直すのが無駄だなーと。

**不明なデバイスさん** (ﾜｯﾁｮｲ 8cbb-On6t) · 2021/04/25(日) 20:00:16.17

もしランサムウェアにやられて直ぐには対処できな場合、ひとまずそのNASをネットから切り離して
新しい機材ですぐにNASを構築することも検討すると思うけど今はHDDが無い！って場合もありそう

**不明なデバイスさん** (ﾜｯﾁｮｲ 2ecb-RU/7) · 2021/04/25(日) 20:43:17.66

>>305

当方 x51 持ちだが、伸びてるね。
EOL に向けて買い替えを検討していたが。

2021/04/25(日) 21:50:48.70

>>305
本当だ、伸びてますね。
情報ありがとう！

**不明なデバイスさん** (ﾜｯﾁｮｲ df10-HEcZ) · 2021/04/25(日) 22:08:12.58

バックアップ用にHDD欲しいんだけどな

マイナーも転売屋も絶滅しろ

**不明なデバイスさん** (ﾜｯﾁｮｲ e201-Im0W) · 2021/04/25(日) 22:36:41.21

278です。月末と言うこともあり仕事建て込みで移動先で見てます。

>>280
ありがとうございます。エンコードの設定して確認してみます。
https://qiita.com/DaikichiDaze/items/4754352da1652d03dc85

windows上で一括ファイル名変換。
.7zファイルのファイル名群をリスト化
解凍後に　一括変換。
なんとなくわかりました。時間ができたときにやってみます。

**不明なデバイスさん** (ﾜｯﾁｮｲ 3868-On6t) · 2021/04/25(日) 23:46:00.16

>>305
そうなんですよね、以前のリストに戻っているような気がします
TS-x73Aの表記も消えていますし

**不明なデバイスさん** (ﾜｯﾁｮｲ e75f-is1i) · 2021/04/25(日) 23:53:00.17

>>310
今日はpaypay高還元だから外付けHDD8TB買った。
バックアップ大事だね。

**不明なデバイスさん** (ﾜｯﾁｮｲ c001-m0US) · 2021/04/25(日) 23:55:03.76

admin無効化にした場合って、今まで使ってたアプリはQTSのトップページに表示すること出来ないの？
appcenterから表示先を全ユーザメニューにしても出てくれないんだけど

**不明なデバイスさん** (ﾜｯﾁｮｲ 3868-On6t) · 2021/04/25(日) 23:59:43.97

>>314
メインメニューからのドラッグアンドドロップで可能ですよ

**不明なデバイスさん** (ﾜｯﾁｮｲ c001-m0US) · 2021/04/26(月) 00:59:08.34

>>315
ありがとう！そこから出来たんだね

**不明なデバイスさん** (ﾜｯﾁｮｲ df10-HEcZ) · 2021/04/26(月) 01:36:01.17

HBS3を最新版にアップデートしたらRTRRサーバーの設定が吹き飛んだ
一度アンインストールしたら直ったけど

ルーター新調した直後に同期がエラー起こしたので、ルーター設定を疑ってて時間がかかったわ

**不明なデバイスさん** (ﾌﾞｰｲﾓ MM5e-HDr5) · 2021/04/26(月) 09:37:00.63

これmalware removerって手動で入れないといけないんかな。

**不明なデバイスさん** (ﾜｯﾁｮｲ 4602-3cD6) · 2021/04/26(月) 10:17:46.83

教えてください。

Puttyで

cd /usr/local/sbin; printf '#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;

をコピペしようとすると

<z.log\nsleep 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;

と入力されてしまうのですが、何がおかしいのでしょうか

**不明なデバイスさん** (ﾜｯﾁｮｲ 6fa0-b+U1) · 2021/04/26(月) 11:47:51.27

>>318
QTS4.5.xならQTS初期化したら有無を言わさずインストールされるよ

**不明なデバイスさん** (ﾜｯﾁｮｲ df36-Rk3w) · 2021/04/26(月) 11:48:36.90

>>319
malware removerを実行すれば、そのコマンドをやる意味はない
むしろ今のスキルだと取り返しのつかない結果を招きそう

**不明なデバイスさん** (ﾜｯﾁｮｲ df36-Rk3w) · 2021/04/26(月) 11:58:30.30

Qlocker に対して一番最初にやるべきことは
Malware Removerの最新版を実行すること
Qlockerがグレードアップしてたら手遅れだけど

**不明なデバイスさん** (ﾜｯﾁｮｲ dcad-sVZV) · 2021/04/26(月) 12:30:24.16

>>319
QNAPのほうで偽7zを用意してくれるようになったのに
それをやろうとするのがおかしい、やってはいけない

それは2回叩くと本来の7zを消す可能性があるものだし
タイミングによってはせっかく用意された偽7zを置き換えるかもしれない
確認は ls -l /usr/local/sbin/7z* だけど見てもわからないよね…

何回叩いたかは history を叩く

>>321
本当ならその記載で足りるはずなんだけど
状況を見てると「やる意味がない」ではまだ弱そうに思えてこうなってしまった

**不明なデバイスさん** (ﾌﾞｰｲﾓ MM5e-HDr5) · 2021/04/26(月) 13:06:19.81

>>320
そうですよね。4.3.6とかの古いのは手動ですよね。

**不明なデバイスさん** (ﾌﾞｰｲﾓ MMed-Rk3w) · 2021/04/26(月) 14:02:02.88

qnap japan のtwitterに情報が出たけど
記載されてる対処方法は不十分なものだな

2021/04/26(月) 16:26:03.57

普段ので本来の7z使う実装ってあるのかな。

ないなら7z実行時のコマンド全部記録してから実行するように改造しておいたらいいのかな。

**不明なデバイスさん** (ﾌﾞｰｲﾓ MM5e-HDr5) · 2021/04/26(月) 17:05:45.49

>>325
とりあえずファームアップも再起動もしないで、とにかく
Malware Removerの最新版を入れろって事ですかね。

**不明なデバイスさん** (ﾜｯﾁｮｲ 4652-zvOL) · 2021/04/26(月) 17:59:21.55

>>326
マルウェア、ウィルススキャンで圧縮ファイル内をスキャンする時に使うかもね。

**319** (ﾜｯﾁｮｲ 4602-3cD6) · 2021/04/26(月) 19:12:53.60

>321,323
アドバイスありがとうございます。
そうですか、NASがガリガリ言っているのに気が付き、フォルダをのぞいたら「!!!READ_ME.txt」
と7zに圧縮されたデータを見つけ焦ってしまい、とりあえず電源と通信ケーブルを抜いてしまいました。
そしてQnapサポートからのメールとフォーラムの翻訳を頼りに上のコマンドをやってしまいました。
そうですか、取り返しのつかないことになってしまったのですか orz

2年位前にもQnap狙いのランサムにやられたときはカスペルスキーさんが提供してくれた復号プログラムで助けられました。
今回はそういう期待は難しいでしょうか

**不明なデバイスさん** (ﾜｯﾁｮｲ fb54-On6t) · 2021/04/26(月) 19:18:55.96

たったの1週間ぶりにスレ覗いたら祭り状態かよ参ったな
明確な侵入経路と侵入の痕跡の確認方法が知りたい

**不明なデバイスさん** (ﾜｯﾁｮｲ df36-BZjc) · 2021/04/26(月) 19:34:16.12

【NASをQlockerランサムウェア攻撃から守る対策】

一番最初にやることはQNAPアプリの最新の Malware Remover をインストールし、マルウェアスキャンを実行すること
一番最初にやることはQNAPアプリの最新の Malware Remover をインストールし、マルウェアスキャンを実行すること
一番最初にやることはQNAPアプリの最新の Malware Remover をインストールし、マルウェアスキャンを実行すること
一番最初にやることはQNAPアプリの最新の Malware Remover をインストールし、マルウェアスキャンを実行すること
一番最初にやることはQNAPアプリの最新の Malware Remover をインストールし、マルウェアスキャンを実行すること

電源やLANケーブルを抜かないこと
> 【NASをQlockerランサムウェア攻撃から守る対策】
>
> ランサムウェアに攻撃されている場合、以下の手順に従ってください。
>
> ?
> 最新の Malware Remover をインストールし、マルウェアスキャンを実行
> ?
> Multimedia Console、Media Streaming Add-on、Hybrid Backup Sync を最新版に更新
>
> （続く）
https://twitter.com/qnapjapan/status/1386519922176446470

一番最初にやることはQNAPアプリの最新の Malware Remover をインストールし、マルウェアスキャンを実行すること
一番最初にやることはQNAPアプリの最新の Malware Remover をインストールし、マルウェアスキャンを実行すること
一番最初にやることはQNAPアプリの最新の Malware Remover をインストールし、マルウェアスキャンを実行すること
一番最初にやることはQNAPアプリの最新の Malware Remover をインストールし、マルウェアスキャンを実行すること
一番最初にやることはQNAPアプリの最新の Malware Remover をインストールし、マルウェアスキャンを実行すること
https://twitter.com/5chan_nel (5ch newer account)

**不明なデバイスさん** (ﾜｯﾁｮｲ df36-BZjc) · 2021/04/26(月) 19:35:58.83

大事なことなので10回言いました。

**不明なデバイスさん** (ﾜｯﾁｮｲ c001-m0US) · 2021/04/26(月) 19:45:24.12

今後またこういう事になったら嫌だから対策しておきたいんだけど、何しておけばいいのかな
NASのHDDの分ローカルにも同じ容量ミラーコピーしておく位しか無いのかな？
qufirewall入れてadmin無効化してても脆弱性で入られる危険性はあるんだよね？

**不明なデバイスさん** (ﾜｯﾁｮｲ d032-9mIh) · 2021/04/26(月) 19:53:40.38

LANケーブルを抜いておく

**不明なデバイスさん** (ﾜｯﾁｮｲ 47ad-On6t) · 2021/04/26(月) 20:01:55.60

うちのNASにもついさっき侵入がみつかったわ。
幸いMalware Removerを最新にしておいたので
削除されたみたいだが。

**不明なデバイスさん** (ﾜｯﾁｮｲ df36-BZjc) · 2021/04/26(月) 20:03:50.12

削除されたっていうことは既に暗号化されてるってことだよ思うけど

**不明なデバイスさん** (ﾜｯﾁｮｲ df36-BZjc) · 2021/04/26(月) 20:12:56.50

【Qlockerの情報がまとまっているサイト】
https://www.bleepingcomputer.com/forums/t/749247/qlocker-qnap-nas-ransomware-encrypting-with-extension-7z-read-metxt/
https://forum.qnap.com/viewtopic.php?f=45&;t=160849

**不明なデバイスさん** (ﾜｯﾁｮｲ dcad-sVZV) · 2021/04/26(月) 20:16:00.32

1. Linuxサーバの外部公開が本当に必要なのかくれぐれも検討する
2. サーバを外部公開するのであればしかるべき措置を講じる
3. 「おい、2.の詳細」と思った人は外部公開しない
4. LAN内だけの使用でも便利で楽しいよ

世界中からアクセスが来るサーバの管理者を是非ともやりたいのか
そんなこわそうな役目なんてやりたくもないのか考えてみませんか

**不明なデバイスさん** (ﾜｯﾁｮｲ c001-m0US) · 2021/04/26(月) 21:04:02.42

ポートって8080から変えたほうが良いとの事なんですけど、何番が良いという決まりはあるんですか？
8081でもいいんでしょうか

**不明なデバイスさん** (ﾜｯﾁｮｲ 8b10-On6t) · 2021/04/26(月) 21:14:54.03

ついさっき以下のログが発生した
qnapと関連している外部公開ポートはないし7zは見つからない
これから調べるぜ

Malware Remover Malware Removal [Malware Remover] Removed vulnerable files or folders. Malware ID: MR2102

**不明なデバイスさん** (ﾜｯﾁｮｲ df36-BZjc) · 2021/04/26(月) 21:15:19.23

8081はサーバーでよく使われるから、49152-65535の間から選ぶといい

**不明なデバイスさん** (ﾜｯﾁｮｲ 06e4-iCxJ) · 2021/04/26(月) 21:19:24.55

いつの間にか見慣れないユーザーが2つできていた。一つはwasrhereという名前、admin権限付いてた。もう一つはでたらめな文字列、消してしまったので詳細不明。Qlockerと関係あると思うんだけど。

**不明なデバイスさん** (ﾜｯﾁｮｲ 06e4-iCxJ) · 2021/04/26(月) 21:20:11.58

間違えた、名前はwasthere

**不明なデバイスさん** (ﾜｯﾁｮｲ 47ad-On6t) · 2021/04/26(月) 21:25:13.42

>>340
うちもそれです。

**不明なデバイスさん** (ﾜｯﾁｮｲ cf5f-UryE) · 2021/04/26(月) 21:33:55.79

つい今さっきMalwareRemoverからMR2102を削除したって出た
でも、検索しても.7zのファイル一つもないけど
これ助かったのかな？

でも、MalwareRemoverを最新にしたのって23日でそれから数日の定期サーチで引っかかってないのにいきなり定期じゃない20時にスキャンされて見つかってるってのが不思議

**不明なデバイスさん** (ﾜｯﾁｮｲ e75f-12fG) · 2021/04/26(月) 21:35:43.76

>>340
うちも同じの出たが、これは外部からアクションがあったからなのか、みんなほぼ同時にってことは何かアプリの動作なのか

**不明なデバイスさん** (ﾜｯﾁｮｲ fb54-On6t) · 2021/04/26(月) 21:43:01.35

挙動が不明だな
QNAPの本拠がクラックされてランサム時限爆弾入りのアプリ配ったんじゃ無いかと恐れてるわ

**不明なデバイスさん** (ﾜｯﾁｮｲ 8b10-On6t) · 2021/04/26(月) 21:43:33.44

>>344,346
うちはMailwareRemoverは毎晩3時に実行する設定だけど、今回は20:37の実行結果だった
今はログ調べ中だけどこれだけ散見するとミスな気もするな
とりあえず外部バックアップドライブは抜いておいた

**不明なデバイスさん** (ﾜｯﾁｮｲ f87d-On6t) · 2021/04/26(月) 21:45:01.08

>>333
QNAPのサイトには321バックアップしとけって書いてあったよ

**不明なデバイスさん** (ﾜｯﾁｮｲ 245f-On6t) · 2021/04/26(月) 21:48:22.73

>>340
うちのも今日出た、3台

OS：最新（TVS-863@4.5.2.1594、TVS-873@4.5.2.1630、TS-653D@4.5.2.1630）

3台共通で
Malware Remover：最新、昨日のスキャンでは引っかかっていない
HBS：最新
myQNAPcloud：未使用
UPnP：無効

マルチホーム構成で、QNAPサービスへのアクセスは隔離LANだけにして、
外に出るルーター側LANはサービスバインドを全て外している

*.7zも自分で作ったもの以外は無し

Malware ID: MR2102は何者なのか？

**不明なデバイスさん** (ﾜｯﾁｮｲ b0b1-UCah) · 2021/04/26(月) 21:49:33.96

>>340
うちにも来たよ
20:47付けで来てる

まだ7zは探せてないけど見えてるファイルは無事っぽい

**不明なデバイスさん** (ﾜｯﾁｮｲ 5e36-XuTf) · 2021/04/26(月) 21:52:01.10

>>345
うちもそれや！　hbs3もマルチメディアも無いけど、443でログだけ？　リムーバーのログが中途半端すぎ。

**不明なデバイスさん** (ﾜｯﾁｮｲ 5e36-XuTf) · 2021/04/26(月) 22:04:05.43

リムーバーが警告メッセージ出してるだけちゃうかな。。
アタックで何か出来たわけじゃない感じしない？

**不明なデバイスさん** (ﾜｯﾁｮｲ dcad-sVZV) · 2021/04/26(月) 22:08:54.95

マルウェア削除時のログが>>272　（ありがたいことに載せてくれた）

いまザワザワしてる人らのは Removed vulnerable files or folders でしょ
ついでに定義更新後にインスタントスキャンが入る設定にしてるでしょ

**不明なデバイスさん** (ﾜｯﾁｮｲ df36-BZjc) · 2021/04/26(月) 22:09:16.42

[Malware Remover] Removed vulnerable files or folders. Malware ID: MR2102

うちのでもこれが出てた、同時刻に /usr/local/sbin/7z が更新されているのでこの関係かもしれない
(定義ファイル実行後に自動的にスキャンが行われる)
海外のフォーラムで状況を見てみると…

**不明なデバイスさん** (ﾜｯﾁｮｲ 8b10-On6t) · 2021/04/26(月) 22:09:17.74

https://www.reddit.com/r/qnap/comments/mwbcl3/removed_the_detected_malware_mr2102/
ここでも混乱中だね

あらためてsshでfindして7z探したけど改ざんされたものはやっぱり無かった
様子見かな

**不明なデバイスさん** (ﾜｯﾁｮｲ 8cbb-On6t) · 2021/04/26(月) 22:16:04.71

.qpkg/MalwareRemover/.quarantine にログの時刻の隔離された？っぽいフォルダがあるが
どれが悪いんだかわからんね

**不明なデバイスさん** (ﾜｯﾁｮｲ 8b10-On6t) · 2021/04/26(月) 22:27:34.59

>>357
その階層みたら2021_04_26_20_37_55.infoと2021_04_26_20_37_55.quarがあった
後者はバイナリなのでわからないけど、前者は「.qpkg/HybridBackup/rr2」内のファイルが記載されてるね
HBSのファイルを隔離したのか？

**不明なデバイスさん** (ﾜｯﾁｮｲ 5e36-XuTf) · 2021/04/26(月) 22:46:29.97

MR2102対策済みのリムーバーです！ってメッセージが出るだけで特に問題無しってことで寝ます。

**357** (ﾜｯﾁｮｲ 8cbb-On6t) · 2021/04/26(月) 22:52:08.70

>>358
同じくこちらにもrrは2あった、そしてHBS3は毎日使用している
あとは etc/config/qsync/home/mgnt_cgi/ というのもあった
まあ、何を隔離したかログ残してよって感じではあるｗ

**不明なデバイスさん** (ﾜｯﾁｮｲ 4652-zvOL) · 2021/04/26(月) 23:55:53.20

>>339
自分なら、そんな推測されやすいポートにはしない。

**不明なデバイスさん** (ﾜｯﾁｮｲ cf5f-8KU9) · 2021/04/27(火) 00:01:56.95

>>339
どうせなら8801にしなよ

**不明なデバイスさん** (ﾜｯﾁｮｲ 3868-On6t) · 2021/04/27(火) 00:07:57.77

>>362
PC-8801ですね

**不明なデバイスさん** (ﾜｯﾁｮｲ 3868-On6t) · 2021/04/27(火) 00:12:14.07

>>361
推測されにくいポートの方が良いでしょうけどデフォルトから変更した時点で
攻撃としては総当たり対象側の可能性が高いので、変更する事には意味が
あるとは思います。

**不明なデバイスさん** (ﾜｯﾁｮｲ 06c3-Bsub) · 2021/04/27(火) 00:32:21.66

何でここまでされてQnapから移らんの？

**不明なデバイスさん** (ﾜｯﾁｮｲ 9b5f-2tiM) · 2021/04/27(火) 00:37:20.22

昔からVPN経由でしか外部からのアクセスを許可してなかったんだけどmyqnapcloud設定すると生でwebサーバ公開するの？
ルータがあるときはupnpでポート変換で。

**不明なデバイスさん** (ﾜｯﾁｮｲ df36-BZjc) · 2021/04/27(火) 00:45:21.62

はい

**不明なデバイスさん** (ﾜｯﾁｮｲ a282-On6t) · 2021/04/27(火) 00:53:38.40

金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ

2021/04/27(火) 02:51:46.62

馬鹿な連中が騒いでいるだけか

**不明なデバイスさん** (ﾜｯﾁｮｲ b6b7-msKI) · 2021/04/27(火) 05:50:58.87

QNAP対応グダグダ杉
malware removerが大事なファイルを誤認削除もワンチャンあるでこれ

**不明なデバイスさん** (ﾜｯﾁｮｲ a45f-yH17) · 2021/04/27(火) 06:04:42.66

HBSが今回の件の後バージョンアップしてから、メチャメチャ遅くなったような気がするのは気のせいなんかな。

2021/04/27(火) 06:27:35.69

大事なファイルはクラウドとBD-Rだな。つくづく思った

**不明なデバイスさん** (ﾜｯﾁｮｲ e6e8-jaYo) · 2021/04/27(火) 06:44:25.57

>>372
どこが安全ちゅうこともないよ。方法と場所を分けるって意味ならその通り。

**不明なデバイスさん** (ﾜｯﾁｮｲ 1ab6-sVZV) · 2021/04/27(火) 07:23:10.77

>>356
関連のところで今見たが
QNAPDaniel
QNAP OFFICIAL SUPPORT
This MR2102 message from Malware remover does not mean you were infected. It means some vulnerability in HBS3 was found and patched.

This scared a lot of people. So I think we are going to try to reword this message.

今回のはどう見ても火に油注いでるね

**不明なデバイスさん** (ﾜｯﾁｮｲ c2ab-T6Cp) · 2021/04/27(火) 08:38:28.06

公式のFAQ出てた
https://www.qnap.com/en/how-to/faq/article/what-should-i-do-when-found-nas-is-encrypting-my-files-by-7z

**不明なデバイスさん** (ﾜｯﾁｮｲ 9b5f-bzv4) · 2021/04/27(火) 08:44:06.41

>>372
今回のはHBS3が侵入経路っぽくてHBS3でクラウド同期してた人が食らってる

**不明なデバイスさん** (ﾜｯﾁｮｲ 2e22-AO4R) · 2021/04/27(火) 09:55:15.70

>>376
うちはHBS3でクラウドとローカル同期してるけど被害なかった。
セキュリティを厳しめで外部からはVPNのみにしたのが良かったのかな。

**不明なデバイスさん** (ﾜｯﾁｮｲ 6fa0-b+U1) · 2021/04/27(火) 12:32:18.68

>>376
ソースあるの？

**不明なデバイスさん** (ﾜｯﾁｮｲ 9b5f-bzv4) · 2021/04/27(火) 13:08:04.68

ここの過去ログたけど？

**不明なデバイスさん** (ﾜｯﾁｮｲ 4163-SFxq) · 2021/04/27(火) 13:19:35.51

>>264
https://qiita.com/arene-calix/items/41d8d4ba572f1d652727

**不明なデバイスさん** (ｴｱﾍﾟﾗ SD5a-Q9US) · 2021/04/27(火) 13:38:20.32

>>378

>>375

**不明なデバイスさん** (ﾜｯﾁｮｲ 6fa0-b+U1) · 2021/04/27(火) 13:57:56.77

>>381
HBS3に脆弱性があるのは正しいけど、クラウド同期してたから侵入されたのかは不明じゃないの？

2021/04/27(火) 14:06:55.22

みんなはいつ頃被害受けた？
私は21日の深夜から9時くらいまでなんだけど（タイムスタンプ）

**不明なデバイスさん** (ﾜｯﾁｮｲ df36-BZjc) · 2021/04/27(火) 15:23:25.79

>>379
攻撃を受けたユーザのうちの一人がHBS3でクラウド同期していたというレベルの話ではないかと

2021/04/27(火) 16:53:22.96

これまだ攻撃動いてるんかな
ハニポ仕掛けたら走るんかな

**不明なデバイスさん** (ﾜｯﾁｮｲ 8e7b-sKTo) · 2021/04/27(火) 17:03:11.62

HBSとマルチメディア系使用してると感染率が高いとしか見てない気が

2021/04/27(火) 17:15:58.28

adminがアタックされ続けてるという人もいるし、侵入ルートが良く分からんなあ。

**不明なデバイスさん** (ﾜｯﾁｮｲ df36-BZjc) · 2021/04/27(火) 18:48:51.07

攻撃を受けてみたいのならルーターをデフォルト設定にしてmyQNAPcloudをデフォルトで設定するといいよ
システム管理のポート番号もお好きな番号でOK
あとQTSの言語はロシア語圏以外にすることをお忘れなく

**不明なデバイスさん** (ﾜｯﾁｮｲ 915f-RXEV) · 2021/04/27(火) 19:22:00.25

昔ながらのVPNが正解だったな

**不明なデバイスさん** (ﾌﾞｰｲﾓ MM5e-V7eB) · 2021/04/27(火) 19:28:59.65

>>387
adminは3月末に2日くらい続いてた事あった。

**不明なデバイスさん** (ﾜｯﾁｮｲ 09a5-Im0W) · 2021/04/27(火) 19:58:09.55

やられた272です。
みなさんが言っているMarware Removerの通知は当方環境にはないので感染、暗号化されたというわけではなそうです
ちなみに感染時当方HBS3はインストールされていましたが一回も起動した記憶がないもので同期が云々とかは初期状態のままで特に触ってなかったです。
すでにアンインストールしてしまったのですが、参考になれば

あとMyQnapCloudは使用してました。
公式もココからとは言ってないですがadminログインは数分で3回位pass間違えるとIPブロックをかけていたので総当たり攻撃でAdminからというのはあまり考えづらそうですたぶん

**不明なデバイスさん** (ﾜｯﾁｮｲ 9b5f-2tiM) · 2021/04/27(火) 21:59:50.33

いかにも悪さしそうなツールならアンインストールしようかという気にもなるけどバックアップツールが突破口にされるとは思わんわな。

**不明なデバイスさん** (ﾜｯﾁｮｲ 8cbb-X5+L) · 2021/04/27(火) 22:03:12.50

とりあえず電源切った。
無敵(笑)

2021/04/27(火) 22:08:04.08

そうしてPCのバックアップが滞ってるうちに今度はPCがランサムに

**不明なデバイスさん** (ﾜｯﾁｮｲ 07ca-VTip) · 2021/04/27(火) 22:11:06.11

フォーラム情報ではQNAPcloudとUPnPの脆弱性を利用してNASに到達し
HBS3にハードコードされていたマスターパスワードを使って侵入されたようだって結論だったね
そもそもデータ扱う機器のパスワードをハードコードするってどうなんと思うけど

**不明なデバイスさん** (ﾜｯﾁｮｲ 2d07-pvp8) · 2021/04/27(火) 22:56:56.24

>>395
そうそうそれそれ

**不明なデバイスさん** (ﾜｯﾁｮｲ df10-Ojjt) · 2021/04/27(火) 23:32:46.55

うちはMyQNAPCloudもHBS3もUPnPも使ってたけど無事だったな
ルーターも古いNECのヤツだったし
よくわからんね

**不明なデバイスさん** (ﾜｯﾁｮｲ dcad-sVZV) · 2021/04/27(火) 23:39:47.23

>>397
そもそも来てなかったとかQuFirewallの活用で叩き落してたとか
いろいろ考えられるよ

**不明なデバイスさん** (ﾜｯﾁｮｲ fb6e-BqgI) · 2021/04/28(水) 00:21:36.28

ipv4 over ipv6で接続してた奴はポート解放できんからセーフだったとか

**不明なデバイスさん** (ﾜｯﾁｮｲ 3868-On6t) · 2021/04/28(水) 01:08:42.71

>>399
ISP側の制限ですね。1つのv4アドレスで1024ポート程度ですかね。
そう考えると使っている人いないかも知れませんがワイヤレス系だと
そっちもNATかかっててセーフな場合もあるかもですね。

**不明なデバイスさん** (ﾜｯﾁｮｲ 968e-iMGS) · 2021/04/28(水) 02:44:07.72

>>400
ただの馬鹿

**不明なデバイスさん** (ﾜｯﾁｮｲ c2ab-T6Cp) · 2021/04/28(水) 07:12:04.16

公式サポートに問い合わせたら>>375のFAQ内容まんま送られてきた。

>>382
>>395がまあ真相だろうね。
外向きに公開しててアタリを付けられたら侵入不可避だった。

**不明なデバイスさん** (ﾜｯﾁｮｲ ce48-b+U1) · 2021/04/28(水) 08:22:41.29

>>397
全員がアタックされた訳では無いってだけだろ

**不明なデバイスさん** (ﾜｯﾁｮｲ 5ed8-sVZV) · 2021/04/28(水) 14:20:41.06

>>395
> パスワードをハードコードするってどうなんと思うけど

これ本当なら、犯人は元従業員とか関係者とかそういう可能性はないのかね?
しかし、QNAPって過去のファームウェアでもヤラかしたこともあったし、ムカつくわ

**不明なデバイスさん** (ﾜｯﾁｮｲ c001-m0US) · 2021/04/28(水) 15:30:40.66

システムイベントログってどうやってコピペするの？
ログをドラッグしても選択出来ない…