QNAP hackerato!

Aperto da federosso, 22 Aprile 2021, 13:20:13

Discussione precedente - Discussione successiva

bigbore

prima di tutto allestisci il sistema di backup poi ripristina gli archivi.


Prendi almeno due hard disk, meglio tre, ognuno di capienza confacente alla mole di dati, etichettali in modo da distinguerli e alternarli senza confondersi. Crea una tabella del tipo: lunedi disco A, martedi disco B mercoledi disco C e poi si ricomincia. Ultima cosa da fare della giornata è collegare il disco e far partire il backup. Prima cosa da fare al mattino, staccare il disco sul quale è stato fatto il backup e metterlo al sicuro - NON lasciarlo collegato - Altro giorno altro hard disk
Se fai così avrai uno-due passi indietro di salvataggio perchè i danni agli archivi non sono solo la perdita ma anche l'alterazione.
Per il software di backup può essere sufficiente un cobian 11.
"Ecci alcuni che altro che transito di cibo e aumentatori di sterco chiamar si debbono, perché per loro alcuna virtù in opere si mette; perché di loro altro che pieni e destri non resta".

federosso

#16
Lo si potrebbe fare in modo automatico?
Ho visto che esistono dei così che metti in rete per fare backup.
Non si possono configurare perché si accendano, eseguano backup e poi si spengano per evitare di venire attaccati quando non sono in funzione?

Non ti nascondo che adesso sono totalmente focalizzato sul come ritrovare i buoi per pensare a quale serratura montare perché la stalla non si riapra in futuro.
Per quanto sia consapevole che questo sia gran parte del problema.
...Infatti quando poi guidi una moto "tua" ti sembra sempre di essere riuscito a migliorare le cose che non ti piacevano, e anche se...non è così, si gusta più serenamente la guida! eggià... (Duc27)

federosso

stamani abbiamo provato a seguire questa guida:
https://www.youtube.com/watch?v=aq_cIdY_ksQ&t=275s

ma senza risultato.
...Infatti quando poi guidi una moto "tua" ti sembra sempre di essere riuscito a migliorare le cose che non ti piacevano, e anche se...non è così, si gusta più serenamente la guida! eggià... (Duc27)

federosso

QNAP ci ha risposto:

"
L'assistenza tecnica QNAP ha aggiornato il ticket di assistenza Q-202104-xxxxxxx. Per verificare il ticket, andare sul Portale clienti QNAP . Di seguito un'anteprima del ticket aggiornato:@@@
Gentile cliente,

grazie per aver contattato il supporto tecnico QNAP.

Come indicato nella newsletter della sicurezza QNAP, recentemente sono stati presi di mira alcuni device QNAP esposti su internet:
- https://www.qnap.com/en/news/2021/response-to-qlocker-ransomware-attacks-take-actions-to-secure-qnap-nas

Riteniamo che l'attacco sia correlato a CVE-2020-36195 e CVE-2021-28799:
- https://www.qnap.com/en/security-advisory/qsa-21-11
- https://www.qnap.com/en/security-advisory/qsa-21-13

Quindi consigliamo vivamente di aggiornare Multimedia Console, HBS3 e Media Streaming Add-on alla versione più recente.
Inoltre, modificare la porta web predefinita 8080 (e non riavviare o spegnere il NAS).

NOTA IMPORTANTE:
Se il processo crittografico ha completato la propria esecuzione o se il NAS è stato riavviato/spento, le procedure riportate di seguito nella comunicazione non possono essere più applicate.
In quel caso l'unico modo per ripristinare i dati è tramite un backup precedente dopo aver re-inizializzato il NAS.


Malware Remover contiene una nuova regola in grado di analizzare l'attacco ransomware e recupererare la chiave di crittografia se la crittografia è ancora in corso o se il NAS non è stato riavviato/spento.

Se il processo di criptazione dovesse essere ancora in running (NON riavviare il NAS o spegnerlo), basterà seguire questo workflow per recuperare la chiave di criptazione:

Method1

1. Install Malware Remover from APP Center and run it manually;
2. Connect nas over ssh:
https://www.qnap.com/en/how-to/knowledge-base/article/how-to-access-qnap-nas-by-ssh
3. Use the command below to find if ransomware is still in progress. 
cp `getcfg MalwareRemover Install_Path -f /etc/config/qpkg.conf`/7z.log /share/Public
4. If command back 'No such file or directory' means the NAS has been rebooted or encryption process has finished, if that is the case, unfortunately there is nothing that can be done to help;
5. If command has been executed without issue, you can see 7z.log in NAS at the Public folder, which will include password;
6. Password will look like bellow:
a -mx=0 -sdel -pmFyBIvp55M46kSxxxxxYv4EIhx7rlTD [FOLDER PATH]
mFyBIvp55M46kSxxxxxYv4EIhx7rlTD is password
7. You can reboot NAS and use the password to decrypt the files;
8. If you don't know how to read the password, please, you may send to QNAP Support the complete message with the NAS diagnostic log.

Method2

1. Connect NAS over ssh;
https://www.qnap.com/en/how-to/knowledge-base/article/how-to-access-qnap-nas-by-ssh
2. Use the command below to find out if ransomware is still in progress.
ps | grep 7z
3. If there is no 7z, it means the NAS has been rebooted or the encryption process has been finished, if that is the case, unfortunately there is nothing that can be done to help;
4. If 7z is running, copy/paste command below and press enter(1 line)
cd /usr/local/sbin; printf '#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;
5. Wait a couple minutes to use cat to grep password;
cat /mnt/HDA_ROOT/7z.log
It will look like bellow:
a -mx=0 -sdel -pmFyBIvp55M46kSxxxxxYv4EIhx7rlTD [FOLDER PATH]
mFyBIvp55M46kSxxxxxYv4EIhx7rlTD is password
6. You can reboot NAS and use the password to decrypt the files;
7. If you don't know how to read the password, please, you may send to QNAP Support the complete message with the NAS diagnostic log.


In allegato una guida QNAP per aumentare la sicurezza del proprio NAS quando viene esposto su internet:
https://www.qnap.com/it-it/how-to/faq/article/quali-sono-le-migliori-prassi-per-migliorare-la-sicurezza-del-nas

Faccia riferimento al seguente link con i consigli sulla sicurezza del proprio NAS:
https://www.qnap.com/en/security-advisories

Consigliamo inoltre di iscriversi alla newsletter QNAP sulla sicurezza, continuamente aggiornata:
https://www.qnap.com/solution/topics-of-interest/it-it/

Il supporto QNAP non ha ulteriori consigli o workflow oltre quelli indicati,
Per gli utenti che avessero difficoltà ad eseguire quanto riportato possono rivolgersi a personale tecnico esterno di propria fiducia.


Grazie.​​​​​​​

"

Quindi niente:
- NAS è stato spento credendo di fare cosa giusta
- backup non ne abbiamo fatti...  sapendo di sbagliare

...Infatti quando poi guidi una moto "tua" ti sembra sempre di essere riuscito a migliorare le cose che non ti piacevano, e anche se...non è così, si gusta più serenamente la guida! eggià... (Duc27)

p69

CitazioneQuindi niente:
- NAS è stato spento credendo di fare cosa giusta
- backup non ne abbiamo fatti...  sapendo di sbagliare

che cavolo mi spiace veramente
Maffeo

Filippo

Fidatevi di ciò che scrivo, non è farina del mio sacco. O me l'hanno suggerito oppure l'ho visto scritto da qualche parte

pegaso_grigio

Ti hanno praticamente detto ciò che già ti avrva detto il sommo (computeristicamente parlando) bigbore...
A volte la "macchina" del tempo.... è soltanto una moto


La cura per ogni cosa è l'acqua salata!  Il sudore, le lacrime o il mare.


A piedi cammino, con l' auto viaggio, con la moto sogno.

federosso

abbiamo pagato!  [arngry] [mad] [stupito]

ricevuta la chiave di apertura ... e adesso apro topic dedicato allo sviluppo del sistema di backup.
Purtroppo siamo stati vittime ma innegabilmente avremmo dovuto esserci fatti trovare preparati.

Procediamo e serva di lezione a tutti quelli che come noi pensano che ste cose capitano ad altri.


...Infatti quando poi guidi una moto "tua" ti sembra sempre di essere riuscito a migliorare le cose che non ti piacevano, e anche se...non è così, si gusta più serenamente la guida! eggià... (Duc27)

p69

già... il backup deve essere il primo comandamento
Maffeo

Filippo

Capisco che è solo una inutile predica.

Chi "lavora" coi computer al loro interno ha "soldi" e come tali deve tutelarli.. Quindi una o + copie scollegate da qualsiasi cosa
Fidatevi di ciò che scrivo, non è farina del mio sacco. O me l'hanno suggerito oppure l'ho visto scritto da qualche parte

federosso

#25
no, no...fate bene... merito le "brontolate".

Ovviamente non scordiamoci che sono vittima ... nel senso che comunque a tutti gli effetti sarebbe bello vivere in un mondo con porte senza serrature. E per quello che mi riguarda mi piace trasmettere questo messaggio.

Per natura non sono un ripetitore del concetto "meglio aver paura che buscarne". o almeno provo a non trasmetterlo come sistema di vita.

Ho sempre pensato a danni che potevano capitare per motivi d'usura delle apparecchiature e non immaginavo di incappare in una situazione di vera estorsione.
...Infatti quando poi guidi una moto "tua" ti sembra sempre di essere riuscito a migliorare le cose che non ti piacevano, e anche se...non è così, si gusta più serenamente la guida! eggià... (Duc27)

Matte

Allora, sicuramente un backup continuo è la soluzione, però il buon Fede ha ragione quando dice che è la vittima, di gente "marrone" aggiungo io >:-O . Mi spiace davvero, hai risolto ma subendo un ricatto. Io nel mio piccolo lavoro su un pc totalmente scollegato dalla rete (non ha manco una scheda di rete interna), poi trasferisco i file tramite hd esterno se serve sul portatile. Però è una soluzione che va bene per me, che sono solo. E sul pc ho comunque due hd diversi di backup,  ma per il rischio che un disco "zompi" (cosa già successa anni fa).
Ciao
Paolo
Perché sono qui? Gilera KZ 125

Filippo

Infatti il mio discorso era decisamente più ampio. Mi riferivo anche alle rotture meccaniche...
Fidatevi di ciò che scrivo, non è farina del mio sacco. O me l'hanno suggerito oppure l'ho visto scritto da qualche parte

federosso

L'idea del Nas in mirroring nacque per prevenire problemi hardware
...Infatti quando poi guidi una moto "tua" ti sembra sempre di essere riuscito a migliorare le cose che non ti piacevano, e anche se...non è così, si gusta più serenamente la guida! eggià... (Duc27)

bigbore

banditi a parte che possono sequestrarti i file, il problema di trovarti file rovinati/bloccati/criptati/cancellati può avvenire (anche senza dolo) da parte di un utente un poco sbadato che fa danni. Certo se le policy di accesso sono fatte bene diventa difficile ma non impossibile (tipo la password di administrator scritta su un post-it in bella vista). Poi ci sono i guasti elettrici che ti possono friggere il NAS se non è alimentato con UPS... poi c'è il crollo del soffitto che spiaccica il NAS sotto metri cubi di cemento... incendio.... alluvione... effrazione con furto del NAS... bombardamento... esplosione nucleare.... anche la semplice sfiga. Anche archiviare sul cloud può essere azzardato visto che i datacenter prendono fuoco (OvH a strasburgo) per cui fare affidamento su più copie è fondamentale.
Millemila ragioni per avere una copia integrale degli archivi su un supporto ridondato e delocalizzato se ci tieni ai file.
"Ecci alcuni che altro che transito di cibo e aumentatori di sterco chiamar si debbono, perché per loro alcuna virtù in opere si mette; perché di loro altro che pieni e destri non resta".