Photo.scr mining virus. På seagate hårddisk server…

Trädvy Permalänk
Medlem
Registrerad
Dec 2011

Photo.scr mining virus. På seagate hårddisk server…

Vet inte riktigt om denna passar i detta ämne eller var exakt?

Har köpt en begagnad Seagate Central 3tb hårddisksserver.

Det har dykt upp en fil - photo. scr i precis varje folder på denna.

Jag har formaterat + tagit bort alla filer med den misstänkta filen… + gått igenom med avast + div av program. Filen är en bitcoin miner. Klickar man igång den börjar datorn mina och blir helt oanvändbar för Svensson. Jag kopplade ner eländet från nätet - rensade alla de filerna + relaterade.

Det hela höll i en dag. Sen kopplade jag upp hårddisken igen och vips var filerna tillbaka i sin forna form.

Gissar på att jag måste blocka någon port som jag missat för att förhindra att den återkommer…

Någon som vet mer om detta? Tydligen vanligt med Seagate Central enligt Google.

Autocorrect rättade photo till phone…
Trädvy Permalänk
Medlem
Registrerad
Sep 2012

script fil?, hur ser den ut om du öppnar den i typ notepad?

Trädvy Permalänk
Medlem
Registrerad
Dec 2011

https://www.bleepingcomputer.com/virus-removal/remove-the-pho...

Den är ganska stor… @adfactory - jag kan skicka dig den om du vill analysera den. Öppna den bara inte normalt. Säg till om det är av intresse…

Skrivet av adfactory:

script fil?, hur ser den ut om du öppnar den i typ notepad?

Skickades från m.sweclockers.com

Trädvy Permalänk
Medlem
Registrerad
Aug 2016

Är du helet säker att det är Seagate Central som lägger tillbaka filerna i alla foldrar, och att det inte är din egen dator som gör det ??

Om Seagate Central lägger tillbaka dessa självmant så kanske att det ligger ett skript inne i Seagate Central som lägger tillbaka dessa från en dolt ställe och du kan rensa hur många gånger som helst utan att du blir av med det.

man kan ta sig in i Seagate Central på konsol-nivå mha. ssh eftersom det är en linux i botten (du måste troligen slå på ssh-funktionen via grafiska gränssnittet innan du kan logga in med ssh mha. 'putty i windows) - och där försöka se om något är onormalt och försöka leta rätt på sagda "photo. scr" med 'find' i hela Seagate Central filsystem och inte bara det som är synligt över nätverket. Detta kräver dock lite kännedom och vana i hur man hanterar Linux-OS

nästa steg om man inte hittar något skadligt och fortfarande ha problem med att filerna kommer tillbaka...

Ta ut alla filer du är rädd om och gör en fabriksåterställning av Seagate Central - dvs. på nivån att alla filsystem på disken skapas nya från början för att bli av med allt gammalt som kan tänkas ligga gömt kvar där, inklusive scriptet som kanske körs då och då med 'cron'

Trädvy Permalänk
Medlem
Plats
Uppsala
Registrerad
Maj 2013

Är det denna:

https://www.bleepingcomputer.com/news/security/most-connected...

Rapporten från Sophos som det refereras till verkar lista ett par ryska sidor. Har du provat ta bort och blocka dessa?

Trädvy Permalänk
Medlem
Registrerad
Aug 2016

hmm - då är det nog dags att göra en fabriks-reset av Seagate Central då det kan gömma sig på många ställen inklusive den lilla webservern för adminstration av Seagate Central...

Trädvy Permalänk
Medlem
Plats
Västra Götaland
Registrerad
Mar 2016

Förstår mig inte på snikenheten hos Trojan skaparna. Måste vara helt efterblivna vad gäller personkännedom. Något är det som fattas i deras hjärnor har jag konstaterat. Smarta att skapa men helt bortkomna vad gäller folks beteende.

97% CPU Hade det varit jag som låg bakom hade jag satt trojanen på att ta högst 30% och då vara osynlig i bakgrunden för de flesta människor. Vem som helst förstår ju att något är galet om datorn går på knäna och vill då ha bort skiten. Förutom då efterblivna spridare av Trojaner...

PS - Fick in något liknande i min Androidplatta och undrade varför den blev varm, seg och sög batteri. Blev en tur med Malwarebytes och sedan blev plattan normal igen. Fast ska ominstallera snart för säkerhets skull.

Ryzen 1800X - Palit Nvidia GTX 1080 - Samsung (2016) 4K UHD TV som skärm och Samsung HW-K960 till ljudet.

Trädvy Permalänk
Medlem
Registrerad
Aug 2016

Det är som virus i naturen - är det för aggressivt och värden dör innan viruset hinner sprida sig, så är viruset snart borta, medans en snäll virus som förkylningsvirus så vandrar den runt jordklotet konstant med sakta adaption hela tiden till ny situation - irriterande men ingen katastrof för värden.

Tror det är girighet att kapa hela datorn med max miningstakt den korta tid det nu blir innan användaren börja göra något åt det, det kanske betalar sig tillräckligt om det snurra max i bara en enda natt...

Trädvy Permalänk
Medlem
Registrerad
Dec 2011
Skrivet av xxargs:

Är du helet säker att det är Seagate Central som lägger tillbaka filerna i alla foldrar, och att det inte är din egen dator som gör det ??

Om Seagate Central lägger tillbaka dessa självmant så kanske att det ligger ett skript inne i Seagate Central som lägger tillbaka dessa från en dolt ställe och du kan rensa hur många gånger som helst utan att du blir av med det.

man kan ta sig in i Seagate Central på konsol-nivå mha. ssh eftersom det är en linux i botten (du måste troligen slå på ssh-funktionen via grafiska gränssnittet innan du kan logga in med ssh mha. 'putty i windows) - och där försöka se om något är onormalt och försöka leta rätt på sagda "photo. scr" med 'find' i hela Seagate Central filsystem och inte bara det som är synligt över nätverket. Detta kräver dock lite kännedom och vana i hur man hanterar Linux-OS

nästa steg om man inte hittar något skadligt och fortfarande ha problem med att filerna kommer tillbaka...

Ta ut alla filer du är rädd om och gör en fabriksåterställning av Seagate Central - dvs. på nivån att alla filsystem på disken skapas nya från början för att bli av med allt gammalt som kan tänkas ligga gömt kvar där, inklusive scriptet som kanske körs då och då med 'cron'

Ja. 110% säker då filen ej finns på ngn dator annat än seagaten. Har gjort en helrensning + fabriksåterställning. Allting försvinner då. För att sen komma tillbaka när jag kopplar upp den mot nätet igen.

Därför tror jag den vidareförs via ftp / öppna portar / ip attacker?

Skickades från m.sweclockers.com

Trädvy Permalänk
Medlem
Registrerad
Dec 2011
Skrivet av xxargs:

Är du helet säker att det är Seagate Central som lägger tillbaka filerna i alla foldrar, och att det inte är din egen dator som gör det ??

Om Seagate Central lägger tillbaka dessa självmant så kanske att det ligger ett skript inne i Seagate Central som lägger tillbaka dessa från en dolt ställe och du kan rensa hur många gånger som helst utan att du blir av med det.

man kan ta sig in i Seagate Central på konsol-nivå mha. ssh eftersom det är en linux i botten (du måste troligen slå på ssh-funktionen via grafiska gränssnittet innan du kan logga in med ssh mha. 'putty i windows) - och där försöka se om något är onormalt och försöka leta rätt på sagda "photo. scr" med 'find' i hela Seagate Central filsystem och inte bara det som är synligt över nätverket. Detta kräver dock lite kännedom och vana i hur man hanterar Linux-OS

nästa steg om man inte hittar något skadligt och fortfarande ha problem med att filerna kommer tillbaka...

Ta ut alla filer du är rädd om och gör en fabriksåterställning av Seagate Central - dvs. på nivån att alla filsystem på disken skapas nya från början för att bli av med allt gammalt som kan tänkas ligga gömt kvar där, inklusive scriptet som kanske körs då och då med 'cron'

Det är ju just det. Har blåst ut hela filsystemet. Filerna försvinner för att komma tillbaka när man kopplar upp t nätet igen. Då kommer de tillbaka direkt. Kolla på de länkade texterna så fattar du mer… underligt som 17.

Skickades från m.sweclockers.com

Trädvy Permalänk
Medlem
Registrerad
Dec 2011
Skrivet av Aene:

Är det denna:

https://www.bleepingcomputer.com/news/security/most-connected...

Rapporten från Sophos som det refereras till verkar lista ett par ryska sidor. Har du provat ta bort och blocka dessa?

Precis den. Vilka adresser? Hur kan man blocka dem? Trodde det handlade om ngt i portväg??

Skickades från m.sweclockers.com

Trädvy Permalänk
Medlem
Registrerad
Aug 2016
Skrivet av fireplayer:

Det är ju just det. Har blåst ut hela filsystemet. Filerna försvinner för att komma tillbaka när man kopplar upp t nätet igen. Då kommer de tillbaka direkt. Kolla på de länkade texterna så fattar du mer… underligt som 17.

Skickades från m.sweclockers.com

_hur_ har du blåst hela filsystemet ?

Är inte jättebekant hur just Seagate Central fungerar, men i regel finns firmwaren gömt i en flash-minne och initierar disken från början om installerad disk är helt tom till en början (dvs. inte har någon giltig MBR/GPT på disken), somliga NAS klarar att starta från en USB-sticka med firmware-imagen inlagd om den interna är korrupt/hackad.

en väg att prova är att ta ut den befintliga disken och stoppa dit en annan disk (med överskriven/nollad MBR/GPT) och låta den initiera upp och sedan se om de oönskade filerna kommer tillbaka - om så, och det är helt 100% säkert att återinfekteringen inte kommer via någon ansluten dator, så är också din firmware hackad i enhetens flash-minne...

- går det inte alls så kanske enheter kräver en seagate-disk av rätt sort/storlek eller att det mesta av firmwaren ändå ligger på disken - se då om det finns någon boot-image för Seagate Central att ladda ned för att göra om installationen från grunden.

automat-spridda virus brukar inte gräva så djupt in i maskinerna men har dess FTP och SSH varit öppnat mot Internet med publik adress (och default-passord) så kan någon manuellt ha varit och rotat i denna och då kan virusinstallationen gömmas hur klurigt som helst...

Trädvy Permalänk
Medlem
Registrerad
Aug 2007

Hej,

Problemet du beskriver har förmodligen med sårbarheter i Seagates mjukvara att göra.

"Har köpt en begagnad Seagate Central 3tb hårddisksserver."

Det är inte jättetydligt vad du har för produkt, därför chansar jag baserat på erfarenhet. Du har en NAS av märket Seagate, förmodligen en av deras "cloud"-produkter.

Nummer 1) Sätt den bakom en brandvägg eller en router som har brandvägg inbyggd. Låt den inte stå öppen mot Internet.

Nummer 2) Se till att mjukvaran är uppdaterad, gör det enklast via seagate's hemsida. Om produkten är uppdaterad så kan du räkna med att Seagate förmodligen slutat skapa säkerhetsfixar åt den. Då måste du inse faktum att du sitter med en produkt som har säkerhetsluckor i sig och som du inte bör koppla upp mot nätet.

MSI Z77A-S03 Inet Ed. | i5 2500k @ 4.2Ghz | 2x Intel 520 SSD + 3TB Lagring | 32GB RAM | ASUS 760 DCII 2GB OC | EVGA Supernova G2 750W Gold+ | Fractal Design R4 | Phantek PH-TC14PE | Citera eller Pinga mig för svar!

Trädvy Permalänk
Medlem
Plats
Jämtland
Registrerad
Aug 2009

@fireplayer: Om det nu inte är en nas som du kör disken i, testa boota ned en Linux LiveCD, mounta disken och rensa den där istället. Kan vara gömda filer som ligger kvar.
Kan ju även vara så att de lagt filen nån annanstans, bios kanske, koppla ur datorn från nätverket, blås om disken, bios, disken typ.

*Citera för svar*
Work smart, not hard.

Trädvy Permalänk
Medlem
Registrerad
Aug 2016

Oj, vilken strippad produkt...

Seagate Central är tydligen väldigt utsatt för hack utifrån med sagda mining-virus om den har varit direkt exponerad mot Internet - tydligen en av vägarna via telnet.

70% av över Internet tillgängliga Seagate Central verkar vara infekterade med denna mining-virus

Det verkar också att största delen/hela OS och tillhörande miljön ligger på hårddisken (i en rad olika partitioner) vilket gör att det är inte bara att byta disk och initiera en ny och köra vidare utan kräver en massa mickel med att flytta över olika delar av innehållet (och risken att man flyttar med delarna som gör att viruset blir kvar). Med andra ord finns det knappt någon flash som håller någon firmware i denna utan bara bootstrap-rutiner som letar efter en u-boot på rätt ställe på disken i stort sett.

störst chans att rädda upp disken från viruset är förmodligen att man genomför en firmware-uppdatering - är det den senaste redan installerad så kommer den troligen inte att vilja genomföra denna utan man får ta hem firmware-filen från seagate och manuellt tvinga att genomföra denna med att peka den nedtankade filen och initiera uppdateringen.

en sida jag stötte på som visar en del av mecket med kanske användbara länkar och metoder (förvisso i annat syften än att rensa från virus) http://seagatecentralenhancementclub.blogspot.se/

Mao. ser det ut som att du fått något som katten släpat in när du köpte Seagate Central begagnad pga. att den blivit hackad när förra ägaren använde denna och haft den publikt åtkommlig mot internet, och det kommer att kräva en del jobb att bli kvitt i det hela.

Personligen skulle jag köpa en riktig 4-bays NAS (tex Synology) plocka ur hårddisken och skriva över de första Gigabyten i början med strunt (man kan göra det med veracrypt med tex. hel hårdiskkryptering av disken i windows) och sedan stoppa in disken där som första disk och låta Seagate Central (utan disk) gå till elektronik-återvinningen. Du kommer förmodligen vinna en del prestanda på det hela då det förmodligen är minsta möjliga modellen av ARM-kärna och minsta möjliga mängden med RAM i Seagate Central för att precis nätt och jämt klara av jobbet i acceptabel fart.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Apr 2013

@fireplayer: Dom här säger att den använder port 23, du borde kunna fixa en firewall som bara tillåter trusted IPs att connecta?

Trädvy Permalänk
Medlem
Registrerad
Dec 2011
Skrivet av Overwatch:

@fireplayer: Dom här säger att den använder port 23, du borde kunna fixa en firewall som bara tillåter trusted IPs att connecta?

Är väl inte samma problem? Det där är väl skiten som fick telia o bbb att byta ut zyxel modemen?

Skickades från m.sweclockers.com

Trädvy Permalänk
Medlem
Registrerad
Dec 2011
Skrivet av xxargs:

Oj, vilken strippad produkt...

Seagate Central är tydligen väldigt utsatt för hack utifrån med sagda mining-virus om den har varit direkt exponerad mot Internet - tydligen en av vägarna via telnet.

70% av över Internet tillgängliga Seagate Central verkar vara infekterade med denna mining-virus

Det verkar också att största delen/hela OS och tillhörande miljön ligger på hårddisken (i en rad olika partitioner) vilket gör att det är inte bara att byta disk och initiera en ny och köra vidare utan kräver en massa mickel med att flytta över olika delar av innehållet (och risken att man flyttar med delarna som gör att viruset blir kvar). Med andra ord finns det knappt någon flash som håller någon firmware i denna utan bara bootstrap-rutiner som letar efter en u-boot på rätt ställe på disken i stort sett.

störst chans att rädda upp disken från viruset är förmodligen att man genomför en firmware-uppdatering - är det den senaste redan installerad så kommer den troligen inte att vilja genomföra denna utan man får ta hem firmware-filen från seagate och manuellt tvinga att genomföra denna med att peka den nedtankade filen och initiera uppdateringen.

en sida jag stötte på som visar en del av mecket med kanske användbara länkar och metoder (förvisso i annat syften än att rensa från virus) http://seagatecentralenhancementclub.blogspot.se/

Mao. ser det ut som att du fått något som katten släpat in när du köpte Seagate Central begagnad pga. att den blivit hackad när förra ägaren använde denna och haft den publikt åtkommlig mot internet, och det kommer att kräva en del jobb att bli kvitt i det hela.

Personligen skulle jag köpa en riktig 4-bays NAS (tex Synology) plocka ur hårddisken och skriva över de första Gigabyten i början med strunt (man kan göra det med veracrypt med tex. hel hårdiskkryptering av disken i windows) och sedan stoppa in disken där som första disk och låta Seagate Central (utan disk) gå till elektronik-återvinningen. Du kommer förmodligen vinna en del prestanda på det hela då det förmodligen är minsta möjliga modellen av ARM-kärna och minsta möjliga mängden med RAM i Seagate Central för att precis nätt och jämt klara av jobbet i acceptabel fart.

Jag har gjort the basics. Det innebär att jag ssh rensat + testat med nya - alltså sprillans nya hårddiskar. Det är när jag kopplat upp den mot nätet som skiten dyker upp igen. De är noll fara för mig då jag inte är korkad nog att köra filerna - men störigt iaf. Det är ftp-öppningen jag inte lyckas klura ut ens. Har i grunden 23 o 2323 stängda för inkommande trafik. Så de portarna är inte skurken. Har gjort en firmware uppdatering och rensat allt. Problemet ligger i hur öppen den är. Det jag behöver klura ut är Vad jag måste blocka / stoppa inåt.

Skickades från m.sweclockers.com

Trädvy Permalänk
Medlem
Registrerad
Aug 2016

Har du kört portscan på enheten (gör det från din dator) och sett vilka portar som faktiskt är öppna - gör det på alla datorer och servrar inom LAN.

har du gjort portscan utifrån från Internet mot din dator och sett om port 21 är öppen,

Smittvägen verkar vara port 21 och tftp och där kontot 'anonymous' (kräver ingen passord eller det går med vad som helst) är alltid tillgänglig och inte enkel kan stängas av - vart fall inte via grafiska gränssnitt.

Tydligen är det en designfel att om enheten är konfigurerad för extern åtkomst utifrån så kommer man åt samtliga konton på enheten om man går in som 'anonymous' på enhetens tftp-server och den vägen kan sprida ut filerna under olika mappar på olika konton/användare.

Viruset i sig när den arbetar på (win)klientdatorer och minar - försöker i sin tur med slumpmässiga ip-adresser på port 21 hitta andra tftp-server över internet med sikte på just Seagate Central och den vägen sprida sig vidare och fylla upp deras direktorys med viruset i fråga så fort den hittar en öppen Seagate Central

Med andra ord är det inte själva Seagate Central som smittar varandra utan det är av viruset i minande klientdatorer som försöker sprida sig med Seagate Central som förvaringsplats utifrån.

Med andra ord motorväg in utifrån om enheten är accessbar utifrån Internet och din enhet kan ha fått flertal besök utifrån från helt olika datorer även på kort tid... och det räcker med en enda dator inom ditt LAN som minar obemärkt med viruset aktivt för att din Seagate Central hela tiden skall bli återinfekterad - även om du nu har blockerat Internet-accessen utifrån.

Det bästa för att skydda sig (förutom att säkra att brandväggen i routern mot Internet är tät för port 21) är att stänga av tftp-servicen i Seagate Central helt och hållet, men då får man nog gå in och mickla lite djupare i linux via ssh.

Att man använder tftp är i sig idiotiskt med tanke på att det är en förenklad ftp-server utan några som helst säkerhetskontroller och bara tänkt att användas inom LAN att hämta drivrutiner och andra binärer på enkelt sett - men antagligen vald för att en mer fullvuxen FTP (som fortfarande är osäker) tar mer resurser i en sådan här liten processormiljö.

---

Detta är en typisk effekt när man överförenkla en produkt till helt okunniga konsumenter som inte vill se några hinder eller krav på inloggning när familjemedlemmar skall dela filer mellan varandra och ger alla samma rättigheter - och här råkar också 'användaren' anonymous' i tftp-serven ingå i samma rättighets-fär och därmed tillgång till hela enhetens diskyta. - och anonymous behöver ingen passord för att komma in och råga på allt så är det utfört så att 'anonymous' inte går att ta bort eller stänga av i tftp eller att stänga av själva tftp-servern på något enkelt sätt.

Trädvy Permalänk
Moderator
Geeks Gaming
Plats
127.0.0.1
Registrerad
Jan 2012

@fireplayer: Flyttade tråden till Mjukvara -> Linux och övriga operativsystem. Hoppas på att fler som är kunniga inom området ser tråden och kan hjälpa till.

Kom in och häng med oss på Geeks Discord!

Trädvy Permalänk
Medlem
Plats
Gislaved
Registrerad
Jan 2003

Kan du inte blocka enhetens IP från all typ av kommunikation mot publika nätet i din router ?

Fortsätter den att drälla på sig virus då så bör det ju finnas innanför din gateway redan ?

En del av mina bildlänkar hostas på egen maskin, är bildlänkarna trasiga, ha tålamod.

Trädvy Permalänk
Medlem
Registrerad
Dec 2011

Jo. Men då kan jag inte komma åt mina hårddiskar i gengäld… det ar där problemet ligger.

Skrivet av Karaff:

Kan du inte blocka enhetens IP från all typ av kommunikation mot publika nätet i din router ?

Fortsätter den att drälla på sig virus då så bör det ju finnas innanför din gateway redan ?

Skickades från m.sweclockers.com

Trädvy Permalänk
Medlem
Plats
Gislaved
Registrerad
Jan 2003

@fireplayer:

Använder du inte burken lokalt då ?

Det låter väldigt konstigt att den måste ha publik access för att nås lokalt.

En del av mina bildlänkar hostas på egen maskin, är bildlänkarna trasiga, ha tålamod.

Trädvy Permalänk
Medlem
Registrerad
Dec 2011

@Karaff: absolut gör jag det. och ja lokalt funkar fint. men grejjen är ju remote accessen. den har en personlig login till min eget skapade användare. men den öppnar samtidigt även den publika i samma veva. har inte lyckats klura ut hur DEN processen ska kunna halvblockeras.

Trädvy Permalänk
Medlem
Plats
Gislaved
Registrerad
Jan 2003

@fireplayer:

Aha då greppar jag.

Får du problem med främmande filer om du låter enheten stå helt isolerad på det privata nätet ?

Det känns ju spontant som du inte skall låta den stå publikt innan felet är löst, för rätt som det är så blir du av med dina filer eller någon börjar snoka i dem osv.

Sätt upp en egen burk med sftp istället ?

Kanske en virtuell maskin på någon av dina PC, som du kan ansluta utifrån och genom den komma åt din lagringsenhet ?

Yes det suger, men nuvarande läge suger också.

En del av mina bildlänkar hostas på egen maskin, är bildlänkarna trasiga, ha tålamod.