Photo.scr mining virus. På seagate hårddisk server…

Är du helet säker att det är Seagate Central som lägger tillbaka filerna i alla foldrar, och att det inte är din egen dator som gör det ??

Om Seagate Central lägger tillbaka dessa självmant så kanske att det ligger ett skript inne i Seagate Central som lägger tillbaka dessa från en dolt ställe och du kan rensa hur många gånger som helst utan att du blir av med det.

man kan ta sig in i Seagate Central på konsol-nivå mha. ssh eftersom det är en linux i botten (du måste troligen slå på ssh-funktionen via grafiska gränssnittet innan du kan logga in med ssh mha. 'putty i windows) - och där försöka se om något är onormalt och försöka leta rätt på sagda "photo. scr" med 'find' i hela Seagate Central filsystem och inte bara det som är synligt över nätverket. Detta kräver dock lite kännedom och vana i hur man hanterar Linux-OS

nästa steg om man inte hittar något skadligt och fortfarande ha problem med att filerna kommer tillbaka...

Ta ut alla filer du är rädd om och gör en fabriksåterställning av Seagate Central - dvs. på nivån att alla filsystem på disken skapas nya från början för att bli av med allt gammalt som kan tänkas ligga gömt kvar där, inklusive scriptet som kanske körs då och då med 'cron'

hmm - då är det nog dags att göra en fabriks-reset av Seagate Central då det kan gömma sig på många ställen inklusive den lilla webservern för adminstration av Seagate Central...

Förstår mig inte på snikenheten hos Trojan skaparna. Måste vara helt efterblivna vad gäller personkännedom. Något är det som fattas i deras hjärnor har jag konstaterat. Smarta att skapa men helt bortkomna vad gäller folks beteende.

97% CPU Hade det varit jag som låg bakom hade jag satt trojanen på att ta högst 30% och då vara osynlig i bakgrunden för de flesta människor. Vem som helst förstår ju att något är galet om datorn går på knäna och vill då ha bort skiten. Förutom då efterblivna spridare av Trojaner...

PS - Fick in något liknande i min Androidplatta och undrade varför den blev varm, seg och sög batteri. Blev en tur med Malwarebytes och sedan blev plattan normal igen. Fast ska ominstallera snart för säkerhets skull.

Det är som virus i naturen - är det för aggressivt och värden dör innan viruset hinner sprida sig, så är viruset snart borta, medans en snäll virus som förkylningsvirus så vandrar den runt jordklotet konstant med sakta adaption hela tiden till ny situation - irriterande men ingen katastrof för värden.

Tror det är girighet att kapa hela datorn med max miningstakt den korta tid det nu blir innan användaren börja göra något åt det, det kanske betalar sig tillräckligt om det snurra max i bara en enda natt...

_hur_ har du blåst hela filsystemet ?

Är inte jättebekant hur just Seagate Central fungerar, men i regel finns firmwaren gömt i en flash-minne och initierar disken från början om installerad disk är helt tom till en början (dvs. inte har någon giltig MBR/GPT på disken), somliga NAS klarar att starta från en USB-sticka med firmware-imagen inlagd om den interna är korrupt/hackad.

en väg att prova är att ta ut den befintliga disken och stoppa dit en annan disk (med överskriven/nollad MBR/GPT) och låta den initiera upp och sedan se om de oönskade filerna kommer tillbaka - om så, och det är helt 100% säkert att återinfekteringen inte kommer via någon ansluten dator, så är också din firmware hackad i enhetens flash-minne...

- går det inte alls så kanske enheter kräver en seagate-disk av rätt sort/storlek eller att det mesta av firmwaren ändå ligger på disken - se då om det finns någon boot-image för Seagate Central att ladda ned för att göra om installationen från grunden.

automat-spridda virus brukar inte gräva så djupt in i maskinerna men har dess FTP och SSH varit öppnat mot Internet med publik adress (och default-passord) så kan någon manuellt ha varit och rotat i denna och då kan virusinstallationen gömmas hur klurigt som helst...

Hej,

Problemet du beskriver har förmodligen med sårbarheter i Seagates mjukvara att göra.

"Har köpt en begagnad Seagate Central 3tb hårddisksserver."

Det är inte jättetydligt vad du har för produkt, därför chansar jag baserat på erfarenhet. Du har en NAS av märket Seagate, förmodligen en av deras "cloud"-produkter.

Nummer 1) Sätt den bakom en brandvägg eller en router som har brandvägg inbyggd. Låt den inte stå öppen mot Internet.

Nummer 2) Se till att mjukvaran är uppdaterad, gör det enklast via seagate's hemsida. Om produkten är uppdaterad så kan du räkna med att Seagate förmodligen slutat skapa säkerhetsfixar åt den. Då måste du inse faktum att du sitter med en produkt som har säkerhetsluckor i sig och som du inte bör koppla upp mot nätet.

@fireplayer: Om det nu inte är en nas som du kör disken i, testa boota ned en Linux LiveCD, mounta disken och rensa den där istället. Kan vara gömda filer som ligger kvar.
Kan ju även vara så att de lagt filen nån annanstans, bios kanske, koppla ur datorn från nätverket, blås om disken, bios, disken typ.

Oj, vilken strippad produkt...

Seagate Central är tydligen väldigt utsatt för hack utifrån med sagda mining-virus om den har varit direkt exponerad mot Internet - tydligen en av vägarna via telnet.

70% av över Internet tillgängliga Seagate Central verkar vara infekterade med denna mining-virus

Det verkar också att största delen/hela OS och tillhörande miljön ligger på hårddisken (i en rad olika partitioner) vilket gör att det är inte bara att byta disk och initiera en ny och köra vidare utan kräver en massa mickel med att flytta över olika delar av innehållet (och risken att man flyttar med delarna som gör att viruset blir kvar). Med andra ord finns det knappt någon flash som håller någon firmware i denna utan bara bootstrap-rutiner som letar efter en u-boot på rätt ställe på disken i stort sett.

störst chans att rädda upp disken från viruset är förmodligen att man genomför en firmware-uppdatering - är det den senaste redan installerad så kommer den troligen inte att vilja genomföra denna utan man får ta hem firmware-filen från seagate och manuellt tvinga att genomföra denna med att peka den nedtankade filen och initiera uppdateringen.

en sida jag stötte på som visar en del av mecket med kanske användbara länkar och metoder (förvisso i annat syften än att rensa från virus) http://seagatecentralenhancementclub.blogspot.se/

Mao. ser det ut som att du fått något som katten släpat in när du köpte Seagate Central begagnad pga. att den blivit hackad när förra ägaren använde denna och haft den publikt åtkommlig mot internet, och det kommer att kräva en del jobb att bli kvitt i det hela.

Personligen skulle jag köpa en riktig 4-bays NAS (tex Synology) plocka ur hårddisken och skriva över de första Gigabyten i början med strunt (man kan göra det med veracrypt med tex. hel hårdiskkryptering av disken i windows) och sedan stoppa in disken där som första disk och låta Seagate Central (utan disk) gå till elektronik-återvinningen. Du kommer förmodligen vinna en del prestanda på det hela då det förmodligen är minsta möjliga modellen av ARM-kärna och minsta möjliga mängden med RAM i Seagate Central för att precis nätt och jämt klara av jobbet i acceptabel fart.

@fireplayer: Dom här säger att den använder port 23, du borde kunna fixa en firewall som bara tillåter trusted IPs att connecta?

Har du kört portscan på enheten (gör det från din dator) och sett vilka portar som faktiskt är öppna - gör det på alla datorer och servrar inom LAN.

har du gjort portscan utifrån från Internet mot din dator och sett om port 21 är öppen,

Smittvägen verkar vara port 21 och tftp och där kontot 'anonymous' (kräver ingen passord eller det går med vad som helst) är alltid tillgänglig och inte enkel kan stängas av - vart fall inte via grafiska gränssnitt.

Tydligen är det en designfel att om enheten är konfigurerad för extern åtkomst utifrån så kommer man åt samtliga konton på enheten om man går in som 'anonymous' på enhetens tftp-server och den vägen kan sprida ut filerna under olika mappar på olika konton/användare.

Viruset i sig när den arbetar på (win)klientdatorer och minar - försöker i sin tur med slumpmässiga ip-adresser på port 21 hitta andra tftp-server över internet med sikte på just Seagate Central och den vägen sprida sig vidare och fylla upp deras direktorys med viruset i fråga så fort den hittar en öppen Seagate Central

Med andra ord är det inte själva Seagate Central som smittar varandra utan det är av viruset i minande klientdatorer som försöker sprida sig med Seagate Central som förvaringsplats utifrån.

Med andra ord motorväg in utifrån om enheten är accessbar utifrån Internet och din enhet kan ha fått flertal besök utifrån från helt olika datorer även på kort tid... och det räcker med en enda dator inom ditt LAN som minar obemärkt med viruset aktivt för att din Seagate Central hela tiden skall bli återinfekterad - även om du nu har blockerat Internet-accessen utifrån.

Det bästa för att skydda sig (förutom att säkra att brandväggen i routern mot Internet är tät för port 21) är att stänga av tftp-servicen i Seagate Central helt och hållet, men då får man nog gå in och mickla lite djupare i linux via ssh.

Att man använder tftp är i sig idiotiskt med tanke på att det är en förenklad ftp-server utan några som helst säkerhetskontroller och bara tänkt att användas inom LAN att hämta drivrutiner och andra binärer på enkelt sett - men antagligen vald för att en mer fullvuxen FTP (som fortfarande är osäker) tar mer resurser i en sådan här liten processormiljö.

---

Detta är en typisk effekt när man överförenkla en produkt till helt okunniga konsumenter som inte vill se några hinder eller krav på inloggning när familjemedlemmar skall dela filer mellan varandra och ger alla samma rättigheter - och här råkar också 'användaren' anonymous' i tftp-serven ingå i samma rättighets-fär och därmed tillgång till hela enhetens diskyta. - och anonymous behöver ingen passord för att komma in och råga på allt så är det utfört så att 'anonymous' inte går att ta bort eller stänga av i tftp eller att stänga av själva tftp-servern på något enkelt sätt.

@fireplayer: Flyttade tråden till Mjukvara -> Linux och övriga operativsystem. Hoppas på att fler som är kunniga inom området ser tråden och kan hjälpa till.

Kan du inte blocka enhetens IP från all typ av kommunikation mot publika nätet i din router ?

Fortsätter den att drälla på sig virus då så bör det ju finnas innanför din gateway redan ?

@fireplayer:

Använder du inte burken lokalt då ?

Det låter väldigt konstigt att den måste ha publik access för att nås lokalt.