Hirdetés

2024. május 20., hétfő

Gyorskeresés

Téma összefoglaló

Téma összefoglaló

  • Utoljára frissítve: 2023-12-13 01:46:22

LOGOUT.hu

ASUSTO NAS összefoglaló

Összefoglaló kinyitása ▼

Hozzászólások

(#2501) Gawamatsu válasza ugyes (#2500) üzenetére


Gawamatsu
Topikgazda

Titkosított, nem csak átnevezett.

(#2502) Csabex válasza MaCS_70 (#2497) üzenetére


Csabex
őstag

Nagyon szívesen :) Rémlett, hogy szoktalak itt is néha látni, ezért is írtam privit, hogy ha érintett vagy, akkor mentsd a menthetőt :)

"The quieter you become, the more you are able to hear..." ― Ram Dass

(#2503) Csabex válasza ugyes (#2496) üzenetére


Csabex
őstag

Én nem kapcsoltam ki, de tény, hogy tanácstalan vagyok, viszont a biztonsági intézkedéseket (EZ connect kikapcs, Net leválasztás, smb kikapcs) már Kicsirics77 hsz-e után azonnal megtettem, de lehet holnap munkába menet előtt fizikailag is kihúzom a LAN kábelt, biztos ami biztos alapon. A fw-em a frissebbik, épp 7végén eresztettem rá.

"The quieter you become, the more you are able to hear..." ― Ram Dass

(#2504) Csabex válasza ugyes (#2499) üzenetére


Csabex
őstag

EZ-Router meghalt amikor a netet elvettem tőle a routerem segítségével.

2500 hsz: Nekem is két lemez van most, egy 6 Tb meg egy 600 Gb és lehet azt teszem majd én is, hogy legyalulom és az 500-asra rakom a rendszert a 6 Tb pedig marad adat tárolásra.

"The quieter you become, the more you are able to hear..." ― Ram Dass

(#2505) ugyes válasza Gawamatsu (#2501) üzenetére


ugyes
aktív tag

Zároltat is írtam. De kétségkívül pongyola volt a megfogalmazásom.

(#2506) Kicsirics77


Kicsirics77
veterán

No egyelőre még nem kaptam be újra így reggelre,minden rendben van igaz minden szolgáltatás le van tiltva ami eddig engedélyezve volt, a letöltések lejöttek szépen amit bepakoltam még tegnap este. Majd olvasgatok napközben mire jutnak.

.... .- --... -.- ..-. . -.- .-. .- ..-. - .-- . .-. -.- .-. .- -.. .. --- .- -.-. - .. ...- .. - -.--

(#2507) imis


imis
senior tag

Nekem sajnos elkezdte és a felénél tart. Most lekapcsoltam a nast, hogy tudom menteni a menthetőt?

(#2508) Kicsirics77 válasza imis (#2507) üzenetére


Kicsirics77
veterán

ha van ssh akkor ott ki lehet lőni a processt, ha nincs és ujraindul akkor valószínűleg sehogy mert az inicializálással fog kezdeni.

.... .- --... -.- ..-. . -.- .-. .- ..-. - .-- . .-. -.- .-. .- -.. .. --- .- -.-. - .. ...- .. - -.--

(#2509) maxisama


maxisama
tag

ASUS az alábbiakat közölte:

In response to Deadbolt ransomware attacks affecting ASUSTOR devices,
ASUSTOR EZ-Connect, ASUSTOR EZ Sync, and ezconnect.to will be disabled as the issue is investigated.
For your protection, we recommend the following measures:
Change default ports, including the default NAS web access ports of 8000 and 8001 as well as remote web access ports of 80 and 443.
Disable EZ Connect.
Make an immediate backup.
Turn off Terminal/SSH and SFTP services.

For more detailed security measures, please refer to the following link below:
NAS 353 Mitigating Ransomware Risks
https://www.asustor.com/en-gb/online/College_topic?topic=353

If you find that your NAS has been affected by Deadbolt ransomware, please follow the steps listed below.
1. Unplug the Ethernet network cable
2. Safely shut down your NAS by pressing and holding the power button for three seconds.
3. Do not initialize your NAS as this will erase your data.
4. Fill out the form listed below. Our technicians will contact you as soon as possible.

https://docs.google.com/forms/d/e/1FAIpQLScOwZCEitHGhiAeqNAbCPysxZS43bHOqGUK-bGX_mTfW_lG3A/viewform?fbclid=IwAR2THl6CioFeIWTmfqUKOjosvWoV2OJ_5Vlnt8RJz6MhZMP6on45V5hlSok

(#2510) Kicsirics77 válasza maxisama (#2509) üzenetére


Kicsirics77
veterán

az mind szép, de akinek ment kukába 3-4 TB mese meg film az már fújhatja ezt, mondjuk legalább foglalkoznak a dologgal.

.... .- --... -.- ..-. . -.- .-. .- ..-. - .-- . .-. -.- .-. .- -.. .. --- .- -.-. - .. ...- .. - -.--

(#2511) Csabex válasza maxisama (#2509) üzenetére


Csabex
őstag

Na végre, hogy nyilatkoztak... Végülis nálam az unplug the ethernet cable megtörtént olyan formában, hogy a router-ből tiltottam a forgalmat a NAS irányába, így lokálban még elérem.

"The quieter you become, the more you are able to hear..." ― Ram Dass

(#2512) maxisama válasza Kicsirics77 (#2510) üzenetére


maxisama
tag

Jogos és amúgy ez sem nyilatkozat volt hanem a support válaszolt. Nem tudom h a technikusok tudnak e bármit kezdeni a már encryptelt tartalommal de kíváncsian várom h mit tudnak. Amúgy részemről az, h a Synology órákkal korábban reagált az eseményekre mint az Asus, nagyon elszomorít.

(#2513) Kicsirics77 válasza maxisama (#2512) üzenetére


Kicsirics77
veterán

az encryptelt tartalommal szerintem semmit, mivel 256-512 kulcs minimum amivel le lett titkosítva, ergo visszafejthetetlen,max azt mondja,hogy buktad a tartalmad sorry.
elég gusztustalan egyébként,hogy frissítik az adm verziót de a sebezhetőség benne marad.

.... .- --... -.- ..-. . -.- .-. .- ..-. - .-- . .-. -.- .-. .- -.. .. --- .- -.-. - .. ...- .. - -.--

(#2514) Hyena


Hyena
senior tag

Szerencsere en (eddig) megusztam a dolgot semmi gond nem tortent.
Csak a miheztartas vegett, es a tobbiek tanulsagara...
Akik sajnos bekaptak a ransonwaret ott milyen szolgaltatasok voltak bekapcsolva? 2 lepcsos ellenorzes, ssh, mennyire volt gyenge vagy eros a jelszo?
A nason az adm defenderben kulfoldi orszagok tiltasa hasznalatban volt?
Legujabb firmware volt telepitve?
Annyit vettem eszre , hogy nem mukodik a nason az ezconnect (nem lehet az asustor szerverhez csatlakozni) illetve nem megy a myasustor.com host.
Ez mindenkinel igy van? (gondolom legalabbis)

harley-davidson-nyiregyhaza.hu

(#2515) Gawamatsu válasza maxisama (#2512) üzenetére


Gawamatsu
Topikgazda

A szomorú, hogy nem azonnal.
Bár akkor is annyi azoknak akiket érintett, de ez a várjunk 9 órát mielőtt bármit mondunk, elfogadhatatlan.
Kb este 8 körül ültem le tegnap a géphez és akkor már 4.5 órája futott a titkosítás, tehát kb 4 körül történhetett GMT+1 zónában és most, reggel 7kor tették ki a közleményt a rendkívül fontos január 29-es kínai újévi szabadságbejegyzés fölé.
Az TechSupp oldalon. A https://www.asustor.com/ még mindig üres és több infót lehetett összeszedni a community foumon és a redditen, mint tőlük.

(#2516) Csabex válasza Hyena (#2514) üzenetére


Csabex
őstag

Igen, az ezconnect, ezsync meg a .to általuk lett kikapcsolva a hibaelhárítás vagy nyomozás miatt. Fentebb írta maxisama topiktárs.

"The quieter you become, the more you are able to hear..." ― Ram Dass

(#2517) ugyes válasza Hyena (#2514) üzenetére


ugyes
aktív tag

Nálam:
- admin deaktíválva,
- jelszó hosszú, kisbetű, nagybetű, szám
- webszerver port hónapok óta nem 80-as, 443-as nem aktív a Letsencrypt plugin miatt,
- portok általában 5xxxx, de a standard alkalmazásoknál (Plex, Download Assistant, stb.) maradt a gyári
- legfrissebb ADM
- SSH szolgáltatás inaktív
- https megkövetelése belépéshez

És jöjjenek a necces részek:
- EZrouter aktiválva: saját tesztek (docker) miatt és vártam a Supportot más ügyben (de lehet mégis aktív volt az EZConnect is....)
- sFTP aktív, bár 3xxxxx portra áthelyezve, de ahogy így most visszaemlékezek attól még a 22-es portot kinyitotta a rendszer
- myasustor.com ddns szolgáltatás használata

(#2518) ugyes válasza Gawamatsu (#2515) üzenetére


ugyes
aktív tag

Nálam 15.17 az első konvertálási időpont. És a kikapcsoláskor (16.48) hagyta abba. Sajnos a Roon adatbázisom odalett, mert egy részébe belekapott. Viszont annyiban mentett meg, hogy vagy 200.000 apró fájl és nem tudott vele végezni ennyi idő alatt.

(#2519) imis válasza Kicsirics77 (#2513) üzenetére


imis
senior tag

nos, nekem volt már sajnos ilyen vírus, ott az átkódolt meghajtót eltettem, és kb 1 év múlva került ki progi, amivel vissza tudtam állítani a fájlokat.

Most 2 hdd van a nasban (3-3 TB), kb felén találtam kódolást, de lekapcsoltam, mert nem volt időm vele foglalkozni. Volt rajta onedrive, azt most skerült visszahozni a felhőből tegnapira állapotra, azon voltak fontos doksik.
Talán mivel a z Asus érintett, több esélyünk lesz a kárelhárításra, de így nem merem bekapcsolni, amíg nincs hova mentenem a még épp adatokat.
igazán jó lenne tudni, hogyan lehet akadályozni az átkódolást, azután pedig menteni az adatokat.Aztán újra telepíteni a nast. Gondolom most erre fogunk kényszerülni.

(#2520) maxisama


maxisama
tag

Ahogy olvasom nincs még konszenzus h PONTOSAN mi a gyenge pont de az biztos hogy az adm sebezhető volt és a legtöbb embernek ezconnect volt aktiválva. Az is sokat sejtet hogy az Asus egyelőre lelőtte az ezconnect lehetőséget a NASon.
A probléma kezelésére pedig annyit tennék hozzá, hogy amint az Asus tudomást szerez egy ilyenről jó lenne ha minimum egy köremailt küld a felhasználóknak, hogy megtámadták, azonnal lőjük le a nasokat. De nemhogy ennyi nem történt, még annyi se, hogy egy nap elteltével valamit kitegyenek infonak. Nemrég kezdtek el kommunikálni csak ... Érthetetlen.

Főleg annak fényében h pár hete a Qnapot támadta meg sikeresen ugyanez a banda, ugyanígy. :F

[ Szerkesztve ]

(#2521) imis


imis
senior tag

Akkor van arra megoldás, hogy a már fertőzött nason leállítsuk a vírust és mentegethető legyen a még érintettlen tartalom?

(#2522) Kicsirics77 válasza imis (#2521) üzenetére


Kicsirics77
veterán

van, be kell lépni ssh hozzáférésen és kilőni a processt, viszont semmi garancia nincs rá,hogy nemtörténik meg újra a dolog.

.... .- --... -.- ..-. . -.- .-. .- ..-. - .-- . .-. -.- .-. .- -.. .. --- .- -.-. - .. ...- .. - -.--

(#2523) Gawamatsu válasza imis (#2519) üzenetére


Gawamatsu
Topikgazda

Eddig darabos mentésem volt, share-ek külön külön külsőre (3TB, 2TB, 750GB), de veszek egy 6TB-s Toshiba P300-at mentésnek. SMR, CMR ilyenkor tökmindegy, csak tárolásra.
Ha reset lesz a vége - és miért ne ha nem éppen most - akkor mehet btrfs-re az egész.
És ha már btrfs kérdés, hogy snapshot mehet e külső drive-ra, mert akkor nagyobbat vagy kettőt veszek.
Egy manual backupra egy meg snapshotra.

(#2524) maxisama válasza Gawamatsu (#2523) üzenetére


maxisama
tag

a snapshot kérdés még nekem se tiszta. igazából lehet, hogy abból vissza lehet húzni?

(#2525) ugyes válasza maxisama (#2524) üzenetére


ugyes
aktív tag

Elméletileg igen. Csak a gyakorlatát nem tudom így, hogy nem férek hozzá a NAS-hoz a kezelőfelületen keresztül (a processz nem megy, de SSH-n nem tudok belépni, mert semmit sem fogad el helyes root jelszónak és nem mertem soft resetet nyomni).
De megvárom az Asustort, hogy mit találnak ki. Talán így több minden marad meg és nem kell újratennem mindent.

(#2526) maxisama válasza ugyes (#2525) üzenetére


maxisama
tag

mindenképp várd meg előtte, igen

(#2527) imis válasza Kicsirics77 (#2522) üzenetére


imis
senior tag

elvileg be tudtam lépni a nasra weben is még reggel, utána kapcsoltam le. szóval konkrétan hogyan tudom, mert nem biztos, hogy fut rajta shh.
Szóval valami bővebben kifejtenéd, kiicsit laikusnak is érthető módon.

(#2528) Kicsirics77 válasza imis (#2527) üzenetére


Kicsirics77
veterán

ha be tudtál lépni akkor mi a gond???
főleg ha webes felületes sikerült.
nálam és jópár embernél itt a webes bejelentkező felület cserélődött le a deadbolt ransomware oldalra, akkor érdekes az ssh belépés mert ninvs grafikus felületed.
ha be tudsz lépni grafikus felületen akkor simán tiltds le a távoli elérést(bár ezt az asus letiltotta mindenkinél most) az adm automatikus frissítését, ftp és egyébb hozzáférést kívülről.

.... .- --... -.- ..-. . -.- .-. .- ..-. - .-- . .-. -.- .-. .- -.. .. --- .- -.-. - .. ...- .. - -.--

(#2529) maxisama válasza imis (#2527) üzenetére


maxisama
tag

Ebben írta Csabex, hogyan tudsz csatlakozni ssh-n.
Itt pedig látod, mit kell futtatni

De amúgy, ha be tudsz lépni, akkor téged nem érint a dolog, viszont mindenképp kapcsold le, amíg az ASUS nem tesz valamit az ügy érdekében, mert veszélyben vagy

[ Szerkesztve ]

(#2530) imis válasza maxisama (#2529) üzenetére


imis
senior tag

sajnos érint, elég sok deadbolt fájlom lett :(
és gondolkodom, hogy vegyek egy vinyót amire az épp fájlokat még lementem, mielőtt végez velük a vírus. csak fel kellene mérnem, hogy mennyi menthető, de ahhoz be kell kapcsolnom a nast.

(#2531) Csabex válasza imis (#2530) üzenetére


Csabex
őstag

Elvileg ha kiszeded a merevlemezt, akkor egy friss Linux alól valahogy el lehet érni a mappákat, mintha volna valami magic erre (olyasmi mint a Ghost explorer, csak Linux alatt), talán épp az asustor fórumban olvastam tegnap, de ezt inkább a többi topiktársra bízom, nem vagyok annyira jártas Linux-ban sajnos.

"The quieter you become, the more you are able to hear..." ― Ram Dass

(#2532) ugyes válasza Csabex (#2531) üzenetére


ugyes
aktív tag

Erre a leírásra gondolsz?

(#2533) Danex


Danex
addikt

Na nekem délután derül ki bekaptam-e vagy sem, reggel telefonon kaptam a google news üzenőfalon, hogy baj van az asustor nas-okkal.. hívtam asszonyt mondtam húzza ki a konnektorból, remote-ból már nem tudtam elérni.

Ha igaz a gyanú és a ezconnect/myasustor miatt tudták gyakorlatilag az IP-ket és emiatt ment a célzott támadás, akkor ha veszek egy saját domaint meg is védeném magam legalább az ilyen automatizált támadások ellen?

(#2534) Kicsirics77 válasza Danex (#2533) üzenetére


Kicsirics77
veterán

ezconnect meg adm sebezhetőség amiről beszéltek, szerintem teljesen felelsleges.

[ Szerkesztve ]

.... .- --... -.- ..-. . -.- .-. .- ..-. - .-- . .-. -.- .-. .- -.. .. --- .- -.-. - .. ...- .. - -.--

(#2535) Csabex válasza ugyes (#2532) üzenetére


Csabex
őstag

Nem, az asustor fórumban vagy a reddit-en volt valami olyasmi, hogy kiszeded a merevlemezt és a friss linux telepítéses pc/laptop-hoz csatlakoztatod egy külső usb-s adapter segítségével, de már nem tudom pontosan hol volt és épp melóba vagyok még, ezért nem tudom megkeresni. Otthon megnézem az előzményekben és szerintem előkerül. Később jelentkezem.

"The quieter you become, the more you are able to hear..." ― Ram Dass

(#2536) Danex válasza Kicsirics77 (#2534) üzenetére


Danex
addikt

saját domainnel az ezconnect az akkor kikapcsolható lenne. Onnantól kezdve marad az ADM, de arra meg szükség van minden alap asustor alkalmazáshoz (photogallery, aidownload) nem?

Tehát akkor egy 3rd party gallery mehetne, de ott meg megint ugyan úgy megvan az esély erre.

Az a baj, hogy ha az ADM fekszik, akkor hiába van mondjuk időzítve biztonsági mentés egy másik diszkre ami rá lenne kötve, a hozzáféréseket ugyan úgy tudják elvben módosítani és akkor a backup is elérhető.

(#2537) Kicsirics77 válasza Danex (#2536) üzenetére


Kicsirics77
veterán

ezért is választottam le egyelőre minden külső hozzáférésről, és csak belső háló meg magayarország van a white listben, mondjuk egy vpn kapcsolaton keresztül ugyanúgy megfektethető :DDD
na mindegy, a lényeg,hogy a gyerek tudjon mesét nézni este mert mégegy hiszti már megválasztana :DDD
megnézem az upnp hogy muzsikál a tévén,aztán ha az megy rendesen akkor marad is.
update: most jött e-mail asustól,hogy támadás van/volt és nem megy az ezconnect, meg válasszam le a nast :DDD
kicsit elkéstek vele...

[ Szerkesztve ]

.... .- --... -.- ..-. . -.- .-. .- ..-. - .-- . .-. -.- .-. .- -.. .. --- .- -.-. - .. ...- .. - -.--

(#2538) gyurma888


gyurma888
aktív tag

Nálam NAS-on fut DDNS és VPN szolgáltatás, hogy elérjem otthoni hálózatot. Remélem csak a myasustor lelövése miatt nem csatlakozik most VPN-re, ha hazaérek kiderül :F

(#2539) imis


imis
senior tag

Szóva ebben az esetben jobban járok a vinyó kivételével és egy linux-szal. Itt már SSH-val sem érdemes próbálkozni?

[ Szerkesztve ]

(#2540) Danex


Danex
addikt

Na úgy néz ki engem elkerült pedig szinte minden service nyitva volt, ezconnect, myasustor is használva volt. Annyi hogy reverseproxy ment, de ezt nem gondolom hogy számítana.

Autofrissítés nem volt bekapcsolva.

Biztonság kedvéért minden portot zártam routeren, leállítottam minden service-t és kikapcsoltam megint a nas-t amíg kiderül mi a turpisság.

[ Szerkesztve ]

(#2541) Danex válasza Danex (#2540) üzenetére


Danex
addikt

Ja igen, logokba láttam hogy elég sok hibás bejelentkezési kísérlet volt sftp-re.

(#2542) Gawamatsu válasza Danex (#2541) üzenetére


Gawamatsu
Topikgazda

A fura, hogy nálam egy hete leálltak. Február 15 óra egy darab rossz kísérlet sem volt.
Pedig az összes lehetséges belépés monitorozva volt, max 3 rossz kísérlettel, örök IP tiltással. Csak EU-ból lehetett belépni, most már EU sem, kivéve HU, ami White list és a helyi hálózat.

(#2543) ugyes válasza Gawamatsu (#2542) üzenetére


ugyes
aktív tag

Én sem tapasztaltam ilyet. Egy eltéved, talán bolgár IP-címről volt bejelentkezési kísérlet a letiltott admin userrel. Azonnal ment örökös feketelistára az egész IP tartománnyal.
Szintúgy földrajzilag korlátozva a belépés.
Úgy tűnik, olvasva másokat, több dolog együttes állása kellett. Volt, akinek be volt kapcsolva az EZConnect, Myasustor DDNS, stb., és nem kapta be. Az automatikus ADM frissítés viszont nem volt aktív.

Btw: kaptál már választ a techsupporttól?

(#2544) Danex


Danex
addikt

Ahogy olvasom néhányan esetleg egy plex frissítésre gyanakodnak.

(#2545) Gawamatsu válasza ugyes (#2543) üzenetére


Gawamatsu
Topikgazda

Nem, New-ban van.
Nem számítok érdemleges válaszra, kissé nyers és kioktató voltam velük, de basszák meg a 9 óra reakcióidejüket.
Nem volt auto update, ADM manuális volt mindig.
EZ Connect volt, ha már az EZ Router nem ment, de csak failbacknek ha nem ment az Asustor cloudID-s belépés.

SFTP nem volt, Telnet nem volt, SSH nem volt.
Kb semmi sem volt benyomva. DataSync volt, már nincs, majd megoldom gépen keresztül.
FTP volt a kameráknak, hogy úgy rogzítsenek, ha már a Surveillance CEntert is elbaszták ugye.
Meg Plex, de annak nem kell NAS jelszó semmihez, saját accountot használ és csak a Media könyvtárat és a saját Plex adatbázis könyvtárban dolgozik. Előbbiből olvas, utóbbiba tölti le a posztereket, infókat.

Ez valam mély, tuti nem 0-day sebezhetőség volt.

[ Szerkesztve ]

(#2546) MaCS_70 válasza Gawamatsu (#2545) üzenetére


MaCS_70
félisten

Az automatikus ADM-frissítés nem véletlenül nem opció egy csomó helyen, mivel régebbi Asustor NAS-ok hajlamosak belefagyni az újraindulásba. :(

Az SSH veszélyességét nem igazán értem: tekintve, hogy maga az SSH biztonságosnak tekinthető, ennyire el lenne cseszve az implementációja???

Vajon mikor merhetem visszakapcsolni a 3202-est??? :)

MaCS

Fán nem lehet motorozni, motoron viszont lehet fázni!

(#2547) Kicsirics77 válasza MaCS_70 (#2546) üzenetére


Kicsirics77
veterán

Én elengedtem ezt a hype-ot mivel semmi olyan nem volt a nason szerencsère ami nem pótolható,szerencsére már a gyerek mesét néz.A világbéke helyreállt.

.... .- --... -.- ..-. . -.- .-. .- ..-. - .-- . .-. -.- .-. .- -.. .. --- .- -.-. - .. ...- .. - -.--

(#2548) MaCS_70 válasza Kicsirics77 (#2547) üzenetére


MaCS_70
félisten

Pótolhatatlan anyagok nekem sincsenek az Asustoraimon, bár olyasmi azért akad, ami (bár nem túl értékes) történetesen a három Asustoronom volt elhelyezve, máshol nem. :)

Egyelőre viszont jóval kisebb kényelmetlenséget jelent várni, mint amit az adatvesztés okozna -- még ha úgy is néz ki, hogy 3/3 arányban megúszom...

MaCS

Fán nem lehet motorozni, motoron viszont lehet fázni!

(#2549) Kicsirics77 válasza MaCS_70 (#2548) üzenetére


Kicsirics77
veterán

Nyilván,kinek mi, nálam nem volt nagy érvágás,offline tárolom a fotókat meg iCloudban.semmi mentés nem megy a nas-ra.

.... .- --... -.- ..-. . -.- .-. .- ..-. - .-- . .-. -.- .-. .- -.. .. --- .- -.-. - .. ...- .. - -.--

(#2550) Hyena


Hyena
senior tag

Ez most jelent, de igy, hogy gyanuba kerult fel merjem tenni?

Frissítés érhető el ehhez: Plex Media Server"ASUSTOR" szerveren jelenleg ez a verzió fut: 1.25.5.5492. 1.25.6.5577 számú kiadás elérhető. Ezt a frissítést a letöltés után manuálisan kell telepíteni. Kiadási jegyzék.

harley-davidson-nyiregyhaza.hu

Copyright © 2000-2024 PROHARDVER Informatikai Kft.