Titkosított, nem csak átnevezett.

Nagyon szívesen Rémlett, hogy szoktalak itt is néha látni, ezért is írtam privit, hogy ha érintett vagy, akkor mentsd a menthetőt

"The quieter you become, the more you are able to hear..." ― Ram Dass

Én nem kapcsoltam ki, de tény, hogy tanácstalan vagyok, viszont a biztonsági intézkedéseket (EZ connect kikapcs, Net leválasztás, smb kikapcs) már Kicsirics77 hsz-e után azonnal megtettem, de lehet holnap munkába menet előtt fizikailag is kihúzom a LAN kábelt, biztos ami biztos alapon. A fw-em a frissebbik, épp 7végén eresztettem rá.

"The quieter you become, the more you are able to hear..." ― Ram Dass

EZ-Router meghalt amikor a netet elvettem tőle a routerem segítségével.

2500 hsz: Nekem is két lemez van most, egy 6 Tb meg egy 600 Gb és lehet azt teszem majd én is, hogy legyalulom és az 500-asra rakom a rendszert a 6 Tb pedig marad adat tárolásra.

"The quieter you become, the more you are able to hear..." ― Ram Dass

Zároltat is írtam. De kétségkívül pongyola volt a megfogalmazásom.

No egyelőre még nem kaptam be újra így reggelre,minden rendben van igaz minden szolgáltatás le van tiltva ami eddig engedélyezve volt, a letöltések lejöttek szépen amit bepakoltam még tegnap este. Majd olvasgatok napközben mire jutnak.

.... .- --... -.- ..-. . -.- .-. .- ..-. - .-- . .-. -.- .-. .- -.. .. --- .- -.-. - .. ...- .. - -.--

Nekem sajnos elkezdte és a felénél tart. Most lekapcsoltam a nast, hogy tudom menteni a menthetőt?

ha van ssh akkor ott ki lehet lőni a processt, ha nincs és ujraindul akkor valószínűleg sehogy mert az inicializálással fog kezdeni.

.... .- --... -.- ..-. . -.- .-. .- ..-. - .-- . .-. -.- .-. .- -.. .. --- .- -.-. - .. ...- .. - -.--

ASUS az alábbiakat közölte:

In response to Deadbolt ransomware attacks affecting ASUSTOR devices,
ASUSTOR EZ-Connect, ASUSTOR EZ Sync, and ezconnect.to will be disabled as the issue is investigated.
For your protection, we recommend the following measures:
Change default ports, including the default NAS web access ports of 8000 and 8001 as well as remote web access ports of 80 and 443.
Disable EZ Connect.
Make an immediate backup.
Turn off Terminal/SSH and SFTP services.

For more detailed security measures, please refer to the following link below:
NAS 353 Mitigating Ransomware Risks
https://www.asustor.com/en-gb/online/College_topic?topic=353

If you find that your NAS has been affected by Deadbolt ransomware, please follow the steps listed below.
1. Unplug the Ethernet network cable
2. Safely shut down your NAS by pressing and holding the power button for three seconds.
3. Do not initialize your NAS as this will erase your data.
4. Fill out the form listed below. Our technicians will contact you as soon as possible.

https://docs.google.com/forms/d/e/1FAIpQLScOwZCEitHGhiAeqNAbCPysxZS43bHOqGUK-bGX_mTfW_lG3A/viewform?fbclid=IwAR2THl6CioFeIWTmfqUKOjosvWoV2OJ_5Vlnt8RJz6MhZMP6on45V5hlSok

Na végre, hogy nyilatkoztak... Végülis nálam az unplug the ethernet cable megtörtént olyan formában, hogy a router-ből tiltottam a forgalmat a NAS irányába, így lokálban még elérem.

"The quieter you become, the more you are able to hear..." ― Ram Dass

Jogos és amúgy ez sem nyilatkozat volt hanem a support válaszolt. Nem tudom h a technikusok tudnak e bármit kezdeni a már encryptelt tartalommal de kíváncsian várom h mit tudnak. Amúgy részemről az, h a Synology órákkal korábban reagált az eseményekre mint az Asus, nagyon elszomorít.

az encryptelt tartalommal szerintem semmit, mivel 256-512 kulcs minimum amivel le lett titkosítva, ergo visszafejthetetlen,max azt mondja,hogy buktad a tartalmad sorry.
elég gusztustalan egyébként,hogy frissítik az adm verziót de a sebezhetőség benne marad.

.... .- --... -.- ..-. . -.- .-. .- ..-. - .-- . .-. -.- .-. .- -.. .. --- .- -.-. - .. ...- .. - -.--

Szerencsere en (eddig) megusztam a dolgot semmi gond nem tortent.
Csak a miheztartas vegett, es a tobbiek tanulsagara...
Akik sajnos bekaptak a ransonwaret ott milyen szolgaltatasok voltak bekapcsolva? 2 lepcsos ellenorzes, ssh, mennyire volt gyenge vagy eros a jelszo?
A nason az adm defenderben kulfoldi orszagok tiltasa hasznalatban volt?
Legujabb firmware volt telepitve?
Annyit vettem eszre , hogy nem mukodik a nason az ezconnect (nem lehet az asustor szerverhez csatlakozni) illetve nem megy a myasustor.com host.
Ez mindenkinel igy van? (gondolom legalabbis)

harley-davidson-nyiregyhaza.hu

A szomorú, hogy nem azonnal.
Bár akkor is annyi azoknak akiket érintett, de ez a várjunk 9 órát mielőtt bármit mondunk, elfogadhatatlan.
Kb este 8 körül ültem le tegnap a géphez és akkor már 4.5 órája futott a titkosítás, tehát kb 4 körül történhetett GMT+1 zónában és most, reggel 7kor tették ki a közleményt a rendkívül fontos január 29-es kínai újévi szabadságbejegyzés fölé.
Az TechSupp oldalon. A https://www.asustor.com/ még mindig üres és több infót lehetett összeszedni a community foumon és a redditen, mint tőlük.

Igen, az ezconnect, ezsync meg a .to általuk lett kikapcsolva a hibaelhárítás vagy nyomozás miatt. Fentebb írta maxisama topiktárs.

"The quieter you become, the more you are able to hear..." ― Ram Dass

Nálam:
- admin deaktíválva,
- jelszó hosszú, kisbetű, nagybetű, szám
- webszerver port hónapok óta nem 80-as, 443-as nem aktív a Letsencrypt plugin miatt,
- portok általában 5xxxx, de a standard alkalmazásoknál (Plex, Download Assistant, stb.) maradt a gyári
- legfrissebb ADM
- SSH szolgáltatás inaktív
- https megkövetelése belépéshez

És jöjjenek a necces részek:
- EZrouter aktiválva: saját tesztek (docker) miatt és vártam a Supportot más ügyben (de lehet mégis aktív volt az EZConnect is....)
- sFTP aktív, bár 3xxxxx portra áthelyezve, de ahogy így most visszaemlékezek attól még a 22-es portot kinyitotta a rendszer
- myasustor.com ddns szolgáltatás használata

Nálam 15.17 az első konvertálási időpont. És a kikapcsoláskor (16.48) hagyta abba. Sajnos a Roon adatbázisom odalett, mert egy részébe belekapott. Viszont annyiban mentett meg, hogy vagy 200.000 apró fájl és nem tudott vele végezni ennyi idő alatt.

nos, nekem volt már sajnos ilyen vírus, ott az átkódolt meghajtót eltettem, és kb 1 év múlva került ki progi, amivel vissza tudtam állítani a fájlokat.

Most 2 hdd van a nasban (3-3 TB), kb felén találtam kódolást, de lekapcsoltam, mert nem volt időm vele foglalkozni. Volt rajta onedrive, azt most skerült visszahozni a felhőből tegnapira állapotra, azon voltak fontos doksik.
Talán mivel a z Asus érintett, több esélyünk lesz a kárelhárításra, de így nem merem bekapcsolni, amíg nincs hova mentenem a még épp adatokat.
igazán jó lenne tudni, hogyan lehet akadályozni az átkódolást, azután pedig menteni az adatokat.Aztán újra telepíteni a nast. Gondolom most erre fogunk kényszerülni.

Ahogy olvasom nincs még konszenzus h PONTOSAN mi a gyenge pont de az biztos hogy az adm sebezhető volt és a legtöbb embernek ezconnect volt aktiválva. Az is sokat sejtet hogy az Asus egyelőre lelőtte az ezconnect lehetőséget a NASon.
A probléma kezelésére pedig annyit tennék hozzá, hogy amint az Asus tudomást szerez egy ilyenről jó lenne ha minimum egy köremailt küld a felhasználóknak, hogy megtámadták, azonnal lőjük le a nasokat. De nemhogy ennyi nem történt, még annyi se, hogy egy nap elteltével valamit kitegyenek infonak. Nemrég kezdtek el kommunikálni csak ... Érthetetlen.

Főleg annak fényében h pár hete a Qnapot támadta meg sikeresen ugyanez a banda, ugyanígy.

[ Szerkesztve ]

Akkor van arra megoldás, hogy a már fertőzött nason leállítsuk a vírust és mentegethető legyen a még érintettlen tartalom?

van, be kell lépni ssh hozzáférésen és kilőni a processt, viszont semmi garancia nincs rá,hogy nemtörténik meg újra a dolog.

.... .- --... -.- ..-. . -.- .-. .- ..-. - .-- . .-. -.- .-. .- -.. .. --- .- -.-. - .. ...- .. - -.--

Eddig darabos mentésem volt, share-ek külön külön külsőre (3TB, 2TB, 750GB), de veszek egy 6TB-s Toshiba P300-at mentésnek. SMR, CMR ilyenkor tökmindegy, csak tárolásra.
Ha reset lesz a vége - és miért ne ha nem éppen most - akkor mehet btrfs-re az egész.
És ha már btrfs kérdés, hogy snapshot mehet e külső drive-ra, mert akkor nagyobbat vagy kettőt veszek.
Egy manual backupra egy meg snapshotra.

a snapshot kérdés még nekem se tiszta. igazából lehet, hogy abból vissza lehet húzni?

Elméletileg igen. Csak a gyakorlatát nem tudom így, hogy nem férek hozzá a NAS-hoz a kezelőfelületen keresztül (a processz nem megy, de SSH-n nem tudok belépni, mert semmit sem fogad el helyes root jelszónak és nem mertem soft resetet nyomni).
De megvárom az Asustort, hogy mit találnak ki. Talán így több minden marad meg és nem kell újratennem mindent.

mindenképp várd meg előtte, igen

elvileg be tudtam lépni a nasra weben is még reggel, utána kapcsoltam le. szóval konkrétan hogyan tudom, mert nem biztos, hogy fut rajta shh.
Szóval valami bővebben kifejtenéd, kiicsit laikusnak is érthető módon.

ha be tudtál lépni akkor mi a gond???
főleg ha webes felületes sikerült.
nálam és jópár embernél itt a webes bejelentkező felület cserélődött le a deadbolt ransomware oldalra, akkor érdekes az ssh belépés mert ninvs grafikus felületed.
ha be tudsz lépni grafikus felületen akkor simán tiltds le a távoli elérést(bár ezt az asus letiltotta mindenkinél most) az adm automatikus frissítését, ftp és egyébb hozzáférést kívülről.

.... .- --... -.- ..-. . -.- .-. .- ..-. - .-- . .-. -.- .-. .- -.. .. --- .- -.-. - .. ...- .. - -.--

Ebben írta Csabex, hogyan tudsz csatlakozni ssh-n.
Itt pedig látod, mit kell futtatni

De amúgy, ha be tudsz lépni, akkor téged nem érint a dolog, viszont mindenképp kapcsold le, amíg az ASUS nem tesz valamit az ügy érdekében, mert veszélyben vagy

[ Szerkesztve ]

sajnos érint, elég sok deadbolt fájlom lett
és gondolkodom, hogy vegyek egy vinyót amire az épp fájlokat még lementem, mielőtt végez velük a vírus. csak fel kellene mérnem, hogy mennyi menthető, de ahhoz be kell kapcsolnom a nast.

Elvileg ha kiszeded a merevlemezt, akkor egy friss Linux alól valahogy el lehet érni a mappákat, mintha volna valami magic erre (olyasmi mint a Ghost explorer, csak Linux alatt), talán épp az asustor fórumban olvastam tegnap, de ezt inkább a többi topiktársra bízom, nem vagyok annyira jártas Linux-ban sajnos.

"The quieter you become, the more you are able to hear..." ― Ram Dass

Erre a leírásra gondolsz?

Na nekem délután derül ki bekaptam-e vagy sem, reggel telefonon kaptam a google news üzenőfalon, hogy baj van az asustor nas-okkal.. hívtam asszonyt mondtam húzza ki a konnektorból, remote-ból már nem tudtam elérni.

Ha igaz a gyanú és a ezconnect/myasustor miatt tudták gyakorlatilag az IP-ket és emiatt ment a célzott támadás, akkor ha veszek egy saját domaint meg is védeném magam legalább az ilyen automatizált támadások ellen?

ezconnect meg adm sebezhetőség amiről beszéltek, szerintem teljesen felelsleges.

[ Szerkesztve ]

.... .- --... -.- ..-. . -.- .-. .- ..-. - .-- . .-. -.- .-. .- -.. .. --- .- -.-. - .. ...- .. - -.--

Nem, az asustor fórumban vagy a reddit-en volt valami olyasmi, hogy kiszeded a merevlemezt és a friss linux telepítéses pc/laptop-hoz csatlakoztatod egy külső usb-s adapter segítségével, de már nem tudom pontosan hol volt és épp melóba vagyok még, ezért nem tudom megkeresni. Otthon megnézem az előzményekben és szerintem előkerül. Később jelentkezem.

"The quieter you become, the more you are able to hear..." ― Ram Dass

saját domainnel az ezconnect az akkor kikapcsolható lenne. Onnantól kezdve marad az ADM, de arra meg szükség van minden alap asustor alkalmazáshoz (photogallery, aidownload) nem?

Tehát akkor egy 3rd party gallery mehetne, de ott meg megint ugyan úgy megvan az esély erre.

Az a baj, hogy ha az ADM fekszik, akkor hiába van mondjuk időzítve biztonsági mentés egy másik diszkre ami rá lenne kötve, a hozzáféréseket ugyan úgy tudják elvben módosítani és akkor a backup is elérhető.

ezért is választottam le egyelőre minden külső hozzáférésről, és csak belső háló meg magayarország van a white listben, mondjuk egy vpn kapcsolaton keresztül ugyanúgy megfektethető
na mindegy, a lényeg,hogy a gyerek tudjon mesét nézni este mert mégegy hiszti már megválasztana
megnézem az upnp hogy muzsikál a tévén,aztán ha az megy rendesen akkor marad is.
update: most jött e-mail asustól,hogy támadás van/volt és nem megy az ezconnect, meg válasszam le a nast
kicsit elkéstek vele...

[ Szerkesztve ]

.... .- --... -.- ..-. . -.- .-. .- ..-. - .-- . .-. -.- .-. .- -.. .. --- .- -.-. - .. ...- .. - -.--

Nálam NAS-on fut DDNS és VPN szolgáltatás, hogy elérjem otthoni hálózatot. Remélem csak a myasustor lelövése miatt nem csatlakozik most VPN-re, ha hazaérek kiderül

Szóva ebben az esetben jobban járok a vinyó kivételével és egy linux-szal. Itt már SSH-val sem érdemes próbálkozni?

[ Szerkesztve ]

Na úgy néz ki engem elkerült pedig szinte minden service nyitva volt, ezconnect, myasustor is használva volt. Annyi hogy reverseproxy ment, de ezt nem gondolom hogy számítana.

Autofrissítés nem volt bekapcsolva.

Biztonság kedvéért minden portot zártam routeren, leállítottam minden service-t és kikapcsoltam megint a nas-t amíg kiderül mi a turpisság.

[ Szerkesztve ]

Ja igen, logokba láttam hogy elég sok hibás bejelentkezési kísérlet volt sftp-re.

A fura, hogy nálam egy hete leálltak. Február 15 óra egy darab rossz kísérlet sem volt.
Pedig az összes lehetséges belépés monitorozva volt, max 3 rossz kísérlettel, örök IP tiltással. Csak EU-ból lehetett belépni, most már EU sem, kivéve HU, ami White list és a helyi hálózat.

Én sem tapasztaltam ilyet. Egy eltéved, talán bolgár IP-címről volt bejelentkezési kísérlet a letiltott admin userrel. Azonnal ment örökös feketelistára az egész IP tartománnyal.
Szintúgy földrajzilag korlátozva a belépés.
Úgy tűnik, olvasva másokat, több dolog együttes állása kellett. Volt, akinek be volt kapcsolva az EZConnect, Myasustor DDNS, stb., és nem kapta be. Az automatikus ADM frissítés viszont nem volt aktív.

Btw: kaptál már választ a techsupporttól?

Ahogy olvasom néhányan esetleg egy plex frissítésre gyanakodnak.

Nem, New-ban van.
Nem számítok érdemleges válaszra, kissé nyers és kioktató voltam velük, de basszák meg a 9 óra reakcióidejüket.
Nem volt auto update, ADM manuális volt mindig.
EZ Connect volt, ha már az EZ Router nem ment, de csak failbacknek ha nem ment az Asustor cloudID-s belépés.

SFTP nem volt, Telnet nem volt, SSH nem volt.
Kb semmi sem volt benyomva. DataSync volt, már nincs, majd megoldom gépen keresztül.
FTP volt a kameráknak, hogy úgy rogzítsenek, ha már a Surveillance CEntert is elbaszták ugye.
Meg Plex, de annak nem kell NAS jelszó semmihez, saját accountot használ és csak a Media könyvtárat és a saját Plex adatbázis könyvtárban dolgozik. Előbbiből olvas, utóbbiba tölti le a posztereket, infókat.

Ez valam mély, tuti nem 0-day sebezhetőség volt.

[ Szerkesztve ]

Az automatikus ADM-frissítés nem véletlenül nem opció egy csomó helyen, mivel régebbi Asustor NAS-ok hajlamosak belefagyni az újraindulásba.

Az SSH veszélyességét nem igazán értem: tekintve, hogy maga az SSH biztonságosnak tekinthető, ennyire el lenne cseszve az implementációja???

Vajon mikor merhetem visszakapcsolni a 3202-est???

MaCS

Fán nem lehet motorozni, motoron viszont lehet fázni!

Én elengedtem ezt a hype-ot mivel semmi olyan nem volt a nason szerencsère ami nem pótolható,szerencsére már a gyerek mesét néz.A világbéke helyreállt.

.... .- --... -.- ..-. . -.- .-. .- ..-. - .-- . .-. -.- .-. .- -.. .. --- .- -.-. - .. ...- .. - -.--

Pótolhatatlan anyagok nekem sincsenek az Asustoraimon, bár olyasmi azért akad, ami (bár nem túl értékes) történetesen a három Asustoronom volt elhelyezve, máshol nem.

Egyelőre viszont jóval kisebb kényelmetlenséget jelent várni, mint amit az adatvesztés okozna -- még ha úgy is néz ki, hogy 3/3 arányban megúszom...

MaCS

Fán nem lehet motorozni, motoron viszont lehet fázni!

Nyilván,kinek mi, nálam nem volt nagy érvágás,offline tárolom a fotókat meg iCloudban.semmi mentés nem megy a nas-ra.

.... .- --... -.- ..-. . -.- .-. .- ..-. - .-- . .-. -.- .-. .- -.. .. --- .- -.-. - .. ...- .. - -.--

Ez most jelent, de igy, hogy gyanuba kerult fel merjem tenni?

Frissítés érhető el ehhez: Plex Media Server"ASUSTOR" szerveren jelenleg ez a verzió fut: 1.25.5.5492. 1.25.6.5577 számú kiadás elérhető. Ezt a frissítést a letöltés után manuálisan kell telepíteni. Kiadási jegyzék.

harley-davidson-nyiregyhaza.hu