Asustor hackade av deadbolt

Jobbigt, det är risken med att exponera saker mot Internet idag tyvärr. Det verkar som att hackarna har samlat ihop så många som möjligt och gjort en koordinerad attack mot alla samtidigt.

@ca6, nu har inte jag någon, men hade jag varit du hade jag inte haft diskarna i om jag startat up och sedan gjort en fabriksåterställninging och därefter "provisionat" RAID igen. <- Vet inte exakt hur man gör detta för att rädda datan som finns, men jag skulle tro att det ska gå. Och självklart ta bort alla port forwards först.

Intressant.
Kan kanske vara nåt för framsidan här.
Asustor användare bör kanske stänga av sin NAS tills orsaken är hittad.

Nu har inte jag Asustor och är förhoppningsvis skyddad från utomstående attacker om jag inte gör något dumt.
Men, jo tjena.... Dra den om Rödluvan och varjen när ni ändå är igång...
"This is not a personal attack. You have been targeted because of the inadequate security provided by your vendor."
Det är såklart enbart för ekonomisk vinning.

Hoppas de hittas och får en sådan böter så de får ekonomiska problem resten av livet.

Har man EZ-connect påslagen i sin kontrollpanel så verkar det har krupit in den vägen - visar också på det farliga med att ha sin NAS åtkommlig över publik internet vare sig direkt eller via reverse proxy, tydligen...

tydligen gör det att /usr/webman/portal/index.cgi byts ut till version med skadlig innehåll och får att ADM triggar att ny uppdatering finns och användaren trycker för uppdatering (eller startar automatisk om man aktiverat automatisk uppdatering) och sedan gör viruset sitt jobb (om man bara krypterar några kbyte i början på var fil så är det nästan lika illa som att hela filen har blivit krypterat i de flesta fallen och därför kan det göra enorm skada bara efter 15 minuter aktivitet) - och om man gör reset/omstart så vill nasen göra en reinitiering av diskarna...

Nu har både QSNAP och ASUSTOR blivit hackade - det är bara en tidsfråga innan Synology och Netgear också blir hackade - så håll era offline-backupper av era NAS uppdaterade.

---

Det verkar nästan alltid vara högre nivås GUI eller app av NAS-tillverkarna själva som hack/crack hittar väg igenom - inte en basic SSH med bra passord eller bara SSH-nycklar eller dito Webb-server med respekterade webb-motorer och bra lösenord.

Jag har kopplat på tråden till en nyhet i ämnet, som uppdateras löpande så gott det går iom att det inte finns supermycket officiell information ännu. Om ni råkar på något relevant som jag har missat eller hur man bör gå tillväga för att skydda sig får ni gärna tagga in mig, skicka ett kontaktmeddelande eller ett PM så uppdaterar jag

Jag skulle aldrig någonsin som hemanvändare ha en Nas utanför vpn. Att ha vpn är i sin tur ingen garanti och det går att diskutera vilken vpn man ska ha, vilken 2 faktor auktorisering man ska ha etc.

Men att hela tiden ha stenkoll på att en mängd olika mjukvaru/hårdvaror är uppdaterade emot de senaste attackerna är inget hemanvändare brukar ha tid med. Jag ser detta som ett stort problem idag att folk har en sådan otroligt stor mängd prylar som går att hacka.

Hur vågar folk exponera sina nas:ar mot internet? i don't get it...

Eftersom det skriver hela tiden så finns risken att man får filer korrupta vid en brutal avstängning - samma scenario som en plötslig strömavbrott och mdadm-RAID som dessa använder som RAID-hanterare i dessa NAS hanterar inte situationen väl och speciellt inte om diskarna i sig har stora write-cache. - kan man forcera en avstängning via GUI:t eller att man ssh:ar in som root och skriver 'halt' så töms i alla fall write-cahce på diskarna ordentligt innan det kopplas ned.

Problemet om man inte stänger av så fortsätter krypterandet - så det handlar om 'damage-control' i hur man skall dra av plåstret på de lurviga.

Efter stoppet så kommer man till den jobbiga delen och det är att komma åt filerna utan att starta upp NAS:en igen.

Har man stationär dator och upp till 4 SATA-kablar (vid 4-slots NAS och RAID-5) ) kan tas fram och anslutas (går också blandat med SATA och USB-adapter/disk-docka) så kan man prova att komma åt diskarna med uppstart med en Live-DVD med tex. ubuntu från USB-sticka - de brukar lappa ihop RAID automagiskt och det blir en mapp man sedan kan kopiera filer ur.

Man skall _inte_ starta upp NAS:en igen med diskarna innan man säkrat kopia av alla sina filer och att det inte finns skadlig kod kvar på volymerna (bla. om /usr/webman/portal/index.cgi på ca 57 kByte som innehåller delar av den skadliga koden och det finns en /usr/webman/portal/index.cgi.bak på runt 27k som är originalet i samma mapp - finns dom båda så är NAS:en smittad och skall inte startas)

Det första en köpare som kostar på en 8000:- Synology NAS, är att vilja kunna skicka upp sina bilder från sin Iphone - allt annat är underordnat, tills verkligheten börja komma i kapp....

EZ-Come, EZ-Go.