Skrivet av blue eyed devil:
Är det klargjort hur det tagit sig in? Måste vara Asustor som blivit hackade på något sett va?
Fan nu vågar man ju aldrig köra quickconnect igen, polaren säger att synology är mycket säkrare, men det kan man ju knappast lita på i dessa ransom tider...
Det som spekulerats är att intrånget gick via PLEX då denna har en remote-kontroll funktion med förmodligen default-password..
Förmodligen är inte SSH/SFTP påverkat men innan man vet så vill ASUSTOR få folk att klippa alla anslutningar till publik internet (vilket quick-conect, EZ-connect mfl. erbjuder för att det skall vara 'enkelt' för alla som sitter bakom CG-NAT:ade nät.)
Men har man remote-control på PLEX aktivt, uPnP-servicar igång och någon av det läcker igenom routern och/eller via reverse proxy (EZ-connect etc.) utanför så ber man om att bli hackad...
All publikt åtkomlig NAS/server-tjänst så måste man rusta för att det en dag blir hackat och allt man har på servern blir förstört/försvinner - med andra ord ha backupper på allt - offline och inte synkas upp och de gamla kopiorna skrivs över inom närtid eller med automatisk process. - Skall man ha automatisk process så måste man tänka igenom noga med 'pull'-packup[1] och den backupservern har generations/sessions-hantering av backup eller motsvarande, samma sak på en molntjänst.
De flesta 'billiga' molntjänster har inte sessions eller generationshantering av de uppsända filerna utan det är bara den sista versionen som syns där - skall man ha generation/sessions hantering så innebär det extra kostnad i de flesta fallen då att ha nuvarande version och tidigare generationer i en eller flera generationer tillbaka innebär att det tar mer plats för molntjänsten och det ger dom inte bort gratis...
Blackblaze B2 hanterar versioner och man kan hämta tillbaka äldre versioner inom en tidsrymd (30 dagar normalt, men är ställbart i B2) - men platsen som de gamla versionerna upptar innan de gör 'expire' ingår också i den totala lagringsmängden man betalar för per månad.
[1]
Backupservern loggar in sig på NAS tex. som 'root' eller annan root-behörig användare med open-SSH-nycklar med tex. rsync och synkar NAS:ens innehåll mot backupserverns spegel av filer på NAS:en. - rsync hanterar att logga in sig via SSH på kommandoraden och därmed kan scriptas - att man också i det fallet kör med open-SSH-nycklar är för kunna automatisera det och inte stanna på att någon skall slå in passwordet för att det skall kunna fortsätta, också för att SSH har mycket högre säkerhet i transaktionerna fram och tillbaka i nyckelförhandlingen med publika och hemliga nycklar som garanterar att man pratar med exakt den servern man tänkt att prata med och inte någon som ser ut som rätt server men är något annan med adress-spoofing.
Backupservern i sig kör filsystem som det är lätt att göra snapshot i (som tex BTRFS/ZFS) och därmed kan hålla backup-generationer som inte påverkar varandra även om den nyss gjorda synkningen innehåller bara ransomware-krypterade filer...
Att man kör som root eller root-behörig användare beror på att undvika rättighetskonflikt på NAS:en så att man inte riskera missa filer som av rättighetsskäl inte kan kopieras om man är någon annan typ av användare.
Med 'pull'-backup menas att NAS:en som det görs säkerhetskopia av - har inte en aning var datat kopieras bort till och därmed kan inte spåra var datat backas mot för maskin eller hitta någon IP-adress, konto eller inloggnings-information för backupservern.
Medans initierar och sänder NAS:en backup självmant till en annan backupserver (push-backup) så har den all information som behövs för ett smart virus att även angripa en backupserver då det har maskinnamn, IP och inloggningsuppgifter!
Man får alltid anta att ransomware-viruset har gjort sig själv till 'root'-behörig, så det finns inget skyddat eller hemligt på NAS:en