Adtam fel tech support ticketet. Meg a google sheet-er. Eddig semmi.

Nem. Mindenki úgy kezeli, hogy ez hétfői eset. De hogy ez az aktiválás volt vagy a beküldés is, nem derült ki.

Én inkább úgy vélem, hogy ez csak az ASUSTOR felelőssége. Ugyanis minden szintű védelem be volt kapcsolva és nem is normal módon jutott be a rendszerbe ez a szar. Így ez az eszköz sebezhetősége!

Ha eddig nem kaptam be a Deadboltot, van rá még esély?
Elmúlt már a veszély?

Naiv hit, hogy semmi sem feltörhető.

A "hivatalos" Asustor fórumon kering egy email, amelyben a cég elnök-vezérigazgatója a felhasználókat hibáztatja, mondván nem változtatták meg pl. a default portokat. Azt nem tudom, hogy fake email-e, de az, aki berakta a fórumba azt állítja régóta leveleznek egymással.

Itt az email:
Hi Derrik,

Do you have any back up of the NAS? If you have backup, we can help you restore. If you do not have backup, then as this Deadbolt is very ferocious, you will not be able to get your data back unless you pay for their decryption key.

The same Deadbolt attacked many other NAS brands earlier this year and before. We have upgraded ADM to 4.0 for security enhancement but this criminal still find users who do not either change their default port or leave services open.

Regards,

Shawn Shu

Hát majd a fejlettebb oszágokból kapnak egy csoporots keresetet céges ügyfelektől, meglátjuk mennyire változik a véleménye.

Átlag felhasználónak mégis honnan kéne, hogy tudja, mit kell megváltoztatnia?

Aki kivette a HDD-ket és külső házból akarja beolvastatni és csak Windows-a van, egy program , hogy ne kelljen Linux-ot telepítenie ehhez.
Mondjuk BTRFS-hez nem jó.

[ Szerkesztve ]

Értem... Akkor sem gondolm, hogy ez ilyen egyszerű. Veszek egy NAS-t, amit úgy adnak el, hogy mennyire profi és tele van online funkciókkal és folyamatosan frissítik, ilyen - olyan védelmekkel!? Majd én mindent megteszek, 2 lépcsős védelem, defender, meg a f@szom tudja. Ők elbasznak valamit én szopok és még én vagyok a hülye is?! Hát én nem így látom!

Sajnos eleg bonyolult ez, a garanciat altalaban limited warranty-nak hivjak pontosabban es a garancialevelen van deklaralva, hogy mire nem vonatkozik, tovabba azt is tartalmazza, hogy vitas keresekben melyik birosag dont ebben, szoval nemigen lehet a helyi ugyvedi irodaban pert inditani, avagy evekig kell finanszirozni a pereskedest es netan az o esetukben Taiwanba jarni mandarin nyelvu targyalasra.
Nnna persze minden (is) csak penz es kello elszantsag kerdese azaz meg lehet csinalni .

harley-davidson-nyiregyhaza.hu

Mert akkor a világ összes okostelefon tulajdonosa kapjon kártérítést mert a Pegasust fel tudták rá varázsolni a felhasználó engedélye nélkül?

Alap elv, hogy ha valami nagyon fontos azt legalább 3 példányban, 2 különböző helyen és ebből legalább 1 offline legyen. Pont ezért mert hackelhető, meghalhat a merevlemez, összedőlhet a ház.

Tehát amennyiben a hackelés miatt elveszett valami pótolhatatlan akkor az igen is a te hibád még ha ezt fájó is hallani, mert nem tettél meg mindent, hogy ez ne fordulhasson elő.

Az egy másik kérdés, hogy milyen hiba okán jutottak be, ha a gyártót hibáztatod akkor ne vásárolj tőlük mostantól kezdve semmi, de ez nem garancia, hogy más gyártó termékével ez ne fordulhatna elő.

Érdekes lehet, hogy esetleg olyan sérülékenység alapján jutottak be ami már ismert volt és esetleg hanyagságból ezt az Asustor nem javította ki, ez elég nagy PR blama lehet

Asus Magyarország levele:

Bár nem értem, mert akkor a garancia témában ki az illetékes?
ezt a linket adták:
https://www.asustor.com/en/about/contact_us

Szerintem nincs értelme ennek a garanciás dolognak... Qnap is megjárta, szerintem Synology is meg fogja valamikor, szóval nem egyedi. Tény, hogy ők másként reagálták le.

"The quieter you become, the more you are able to hear..." ― Ram Dass

Esetleg a kevésbé hozzáértő embereknek lehetne egy lépésről lépésre leírás, hogy miként nézzék meg, ellenőrizzék és ha jelen van miként lőjék ki a futó folyamatot?
Mert én ahogy olvastam, egyből webesen bejelentkeztem s onnan ki is kapcsoltam a NAS-t. Leállt szépen. Ám azóta még nem kapcsoltam be.

Asus , asustor gondolom 2 külön cégként üzemel, még ha esetleg az Asus a másik anyacége is.

Pl az LG oled TV-knél maga a panelt az LG saját magától veszi meg,mert ki van szervezve a panel gyártás egy külön cégbe.

Meg RAID tömböt sem tudsz külső eszközzel lementeni. Kellene az egész egyszerre és sztem még akkor sem összerakható.

Mint nyáron írtam volt egy NAS elhalálozásom (egyébként nagyon hasonló, csak akkor nem tudtam még mobil appról sem belépni és az újraindítás után azonnal inicializálással kezdett a gép), akkor elvittem adatmenteni és ott meg tudták csinálni, hogy a btrfs RAID1 tömböt kiovassák (egyébként elég lett volna 1 lemez is, csak ellenőrizés végett mindkettőt megnézettem).

Próbálom megszerezni a topicgazda jogot (ha már én indítottam) és összefoglalóba berakni.
De ha valaki kezdő, ott jobb inkább ha nem piszkálja.

De bármi is a terv, be kell kapcsolni.
Ha még nincs rajta a kór, akkor csak helyi hálózaton vagy anélkül.
Ha már rajta van akkor kb tökmind1 (szerintem). Csak induljon el.

Az SSH-zás alapfeltétele, hogy be legyen kapcsolva az a szolgáltatás. Ha nincs benyomva és még nem fér hozzá az ADM-hez az ember, akkor mobilappon keresztül be lehet kapcsolni.
- Utána/közben Putty vagy más terminál alkalmazás beszerzése (putty ingyenes), a NAS IP-jére csatlakozás.
- Aktuális processz listázás,
- Káros elem megölése,
- némi mókolás módosított konfig file törlés átnevezéssel és indítótáblából kiszedése.

Mindezt karakteres terminálból, linux alapokkal ha valami máshogy menne. Pl a
Ha kell csinálok képes lépésről lépésre leírást, de ez van a Redditen:

SSH-ból:

crontab -e

Lesz egy ilyen sor, törölni kell és bezárni (Esc, majd :wq beírásával - mire rájöttem....):
*/1 * * * * /bin/sh /usr/builtin/etc/cgi_install

Majd tovább a parancssorból a cgi_install törlése:
rm /usr/builtin/etc/cgi_install

Aztán könyvtár váltás, jogosultság módosítás, régi törlése, auto backup átnevezése:
cd /usr/webman/portal
chattr -i index.cgi
rm index.cgi
cp index.cgi.bak index.cgi

Innentől a NAS ADM felülete a szokásos módon elérhető (nem kell restart).
Némely parancsok nálam permission denied üzenettel nem futottak le, azok elé "su" "sudo" toldalék kell (super user, super user saját jelszóval) adminabb módban futtatáshoz és bekéri az admin jelszót. A jelszó beírása közben a kurzor NEM mozog.

[ Szerkesztve ]

Nálam Raid 5 van 3 lemezzel, az kicsit más, mint a tükrözött (1:1 másolat) RAID1.

Köszi szépen, meglesem alkalomadtán.

Köszönöm. Hatásodra újra nekiálltam és sikerült belépnem, majd törölnöm a leírt sort, stb.
Ha valami nem annyira gyakorlott a vi Linux utasítás ekkor az alapértelmezett szövegszerkesztő. Rákeresve elég jó leírások vannak a használatáról.

Most azon morfondírozom, hogy visszaállítsam-e egy korábbi állapotra snapshotból?

Ha jól tudom, bele lehet nézni mi van benne, de a snap nem csak beállított share tartalmat állít vissza?

Rettenetesen meglepne, ha egy komoly cég vezetője azt ajánlaná, hogy fizessünk a zsarolóknak és akkor visszakapjuk az adatainkat.

Nekem kicsit a nyelvezete is furcsa...

MaCS

Fán nem lehet motorozni, motoron viszont lehet fázni!

Az Asustor felelőssége csak abban az esetben lenne reálisan felhozható, ha valamilyen durva gondatlanságot lehetne rájuk bizonyítani.

A jótállás érvényesítése eleve fogalmilag kizárt, mégpedig több ok miatt is:
Egyrészt ugye nincs meghibásodás, másrészt minden gyártó szájbarágósan ismételgeti, hogy adatokért nem vállal felelősséget, tessék mindenről többszörös mentést tartani. Az pedig, ha nincs másod/sokadpéldány az adatokról, eleve nagyon komoly felhasználói felelőtlenség, amit minden jogrendszer károsulti/sértetti közrehatásként ismer.

Fel nem foghatom, hogyan fordulhat elő 2022-ben, hogy valaki ne tartson leges-legalább egy biztonsági mentést...

MaCS

Fán nem lehet motorozni, motoron viszont lehet fázni!

A szombat déli állapot van benne. Ami nekem kb. elég lenne, hogy a szolgáltatásokat és az Plex + Roon adatbázisokat visszakapjam (Plexet le tudtam menteni a friss állapotot, de a Roonról csak 1 hetes mentésem van).

Viszont kell még egy lépés a NAS tisztításához: az eredeti fertőző állomány törlése. Ennek menete a következő (eredeti angol verzióban):
My solution so far, login vis ssh as root user
cd /volume0/usr/builtin
ls

you will see a 5 digit binary executable file For me it was 22491. I use that in the following command to get the process ID
ps | grep 22491

from this I got the Process id 25624. I kill that process
kill 25624

I then remove the binary file
chattr -i 22491
rm -f 22491

Nálam 23896 volt a száma.
Annyi megjegyzésem lenne, hogy roottal nem tudtam belépni, de a szokásos adminisztrátor felhasználómmal igen (hétfőn automatikusan root volt a felhasználó putty-ban, ma már kérte a felhasználó nevét).

[ Szerkesztve ]

Találtam egy újabb nyilatkozatot fb hsz formájában tőlük ha nem olvasta volna valaki:

"We estimate to release a recovery firmware from our support engineers today for users whose NAS is hacked so they can use their NAS again. However, encrypted files can not be recovered unless users have backups."

Forrás: Facebook.

"The quieter you become, the more you are able to hear..." ― Ram Dass

Kisebbfajta infarktust kaptam a hírek hallatán. Saját melóhelyemen is Asustor NAS a fájl szerverünk és egy másik építész irodában is üzemeltetek egyet. Úgy látom mindkét NAS megúszta. Kopp, kopp, kopp.

A saját irodai NAS-unk ráadásul 1-2 hete halálozott el, egy 2015-ben vásárolt 5102T volt, vettünk gyorsan egy 6602T és szerencsére tényleg csak annyi volt a feladat, hogy át kellett tenni bele a 2db 8TB-os vinyót és feltámadt ugyan azzal a konfiggal, mint ahogy a másik lehalt. Csak a router dhcp szerverében kellett átírni, a MAC address-t, hogy minek ossza ki ugyan azt az IP-t. Szóval akkor is volt egy idegesebb napom már, most meg ez.

Egyelőre mindkét NAS tisztának tűnik, igyekszem védekezni, de egyszerűen nem lehet ezeket kikapcsolni, a minimális funkciók a samba lokálisan és az ftp net-re engedve, ezeknek mennie kell tovább.
A beépített Ez-funkciókat én nem használtam, ki voltak kapcsolva, dyn.com-os előfizetésem van. A 8000/8001 port-ok viszont alapbeállításon voltak nálam is, ezeket most elhangoltam és kikapcsoltam a port forward-jukat.
Azért még így is bennem van a gombóc. Remélem gyorsan jön frissítés.

\m/

Szerintem az EZ funkciók miatt úszhattad meg, de esetedben is érthetetlen, hogy miért nincs backup? Azért ilyen dolgot nagyon is számításba kell venni, főleg vállalati környezetben.
Ha beüt a krak, akkor kész, a vállalat lehúzza a rollóit?

"The quieter you become, the more you are able to hear..." ― Ram Dass

Van backup. Napi automata, inkrementális mentés az aktuális munkákról egy munkaállomásra és kézi mentés egy párhavonta becipelt offline külső meghajtóra. Úgy érzem pont holnap lesz a napja, hogy megsétáltassam.

\m/

Jaaa, akkor nem szóltam, sorry

"The quieter you become, the more you are able to hear..." ― Ram Dass

RAID-5-höz ez jobb, talán.

lámáknak a port átállítást leírná valaki?

Jó lenne tudni, hogy interneten keresztül aktiválódott a támadás, vagy időzítve várakozott valahogy bejutva.
Az elmúlt héten nem volt bekapcsolva szerencsére a nas-om ezért jó lenne tudni, hogyan lehet kideríteni, fewtőzőtt-e, vagy ha nem, biztonságos-e net hozzáférés nélkül bekapcsolni.

Kipróbáltam egy alkalmazásra: nem segít a snapshotból visszaállítás, vagy legalábbis annak nem segített.

""Viszont kell még egy lépés a NAS tisztításához: az eredeti fertőző állomány törlése. Ennek menete a következő (eredeti angol verzióban):
My solution so far, login vis ssh as root user
cd /volume0/usr/builtin
ls

you will see a 5 digit binary executable file For me it was 22491. I use that in the following command to get the process ID
ps | grep 22491

from this I got the Process id 25624. I kill that process
kill 25624

I then remove the binary file
chattr -i 22491
rm -f 22491
Nálam 23896 volt a száma.""

Valóban, de azt kicsit feljebb írtam. Mondjuk az 5 karakteres szám nem igaz, nálam még csak 4 karakteres volt, 5451.

ADM 4.0.4.RQO2 ( 2022-02-24 )

Change log:Fix security vulnerabilities.

harley-davidson-nyiregyhaza.hu

Akiknél történt már kódolás csak nem végzett a vírus talán értelmesebb kivenni a vinyót és lementeni az adatokat, mint indítani a nast?
Én mielőtt lekapcsoltam még voltak jó állományaim, azokat jó lenne lementeni.
Bár ha meg már mindent lementettem és a kódoltakat elteszem, hátha lesz rá orvosság (volt már ilyen), akkor meg esetleg érdemes újra telepíteni a nast?
Nekem most inicializálni szeretné magát, gondolom a leírásod szerint "*/1 * * * * /bin/sh /usr/builtin/etc/cgi_install" ezzel kiiktathatom.

Szóval melyik a járhatóbb út? állománymentés, és újratelepítés vagy ssh-zás? Persze nekem nem volt backup, csak sima hálózati vinyónak használtam.

A fura az, hogy a NAS szólt van új firmware, de csak helyi hálózaton fut, nincs kiengedve a net felé.

A "*/1 * * * * /bin/sh /usr/builtin/etc/cgi_install" csak az indítását, újrafuttatását szünteti meg.
A sorrendben nem vagyok biztos, de előbb kill, aztán ennek eltávolítása, majd a backup cgi_install visszaállítása.

HA ez a FW megoldja a sérülékenységet én feltenném (mindjárt indítom is rá mobil appból - nem lehet onnan belépni interneten már) majd újratenném az egészet. Nem tudhatjuk mennyire bújtatták el és mennyire siketült csak tüneti kezelést alkalmazni a processz kill-lel és a többivel.

[ Szerkesztve ]

Akkor lehet, hogy jobb út az adatmentés és utána egy új telepítés új firmware-vel, mint küzdeni a process kilövésével.

ma reggel belépve jelzés volt a beállításokon (1), de "magától nem szólt" , hogy frissítés elérhető telepíted most?

belépve az adm update menü pontba ott volt a "New update is available" jelzés, de ő külön nem szólt

de komolyra fordítva a szót, én nem zártam el az internettől, így nem lep meg hogy látja kijött új verzió.

release notes:
"In response to ransomware attacks, ADM firmware has been upgraded to fix related security issues.
ASUSTOR strongly recommends taking the following actions to ensure your data is secure:
* Change your password.
* Use a strong password.
* Change default HTTP and HTTPS ports. Default ports are 8000 and 8001 respectively.
* Change web server ports. Default ports are 80 and 443.
* Turn off Terminal/SSH and SFTP services and other services you do not use.
* Make regular backups and ensure backups are up to date."

mindjárt fel is engedem..

Nem, nem telepítem. Az adataim a másik két köteten sértetlenek. Az elsőről a szombati snapshotból visszanyertem, amelyek újrafelépítése sok munkával járna (Plex adatbázis, metaadatokkal és a Roon adatbázis, + a gyerek hiányzó Duplo elemeinek jegyzéke ).
De nem vagyok benne biztos, hogy nem zúzza be ezeket. Illetve a fentebb is említett bizonytalanság, hogy maradt-e a "vírus" után még valami, eltűnik-e így.

A release note-ben említett tevékenységekhez:
1) 8/10 hosszú jelszavak, nagybetű, kisbetű, szám volt eddig is
2) igen, ezt nem változtattam meg, de kívülről csak HTTPS-sel lehetett belépni
3) webszerver port nem a 80-as volt, 443 nem volt nyitva
4) SSH nem volt engedélyezve, SFTP igen, egy nem default porton. Ahogy az FTP sem default porton ment át. Viszont, ellenben, de: benne maradt az EZ-Connect port forwarding "X". És attól tartok ez automatikusan megnyitotta a default port(oka)t is. Szóval veszett fejsze nyele.
5) És aktív volt az EZ-Connect, de ezt már hétfőn is írtam.

Amit még hiányolok a fenti listából: az UPnP szolgáltatás kikapcsolása a routeren. Bár az csomó más programot, rendszert is érint (pl. pc-s programokat), és nem mindenki áll neki megnézni, utánajárni, hogy X, Y, Z program milyen portokat használ és azokat egyesével kinyitni. És pl. a UPC routernek véges számú portforward beállítása lehet (kb. 20-25). Mert én speciel belefutottam ebbe.

A mai napi ausutor support (asustor.com):

"Kérjük, tekintse át az alábbi intézkedéseket az adatok biztonságának növelése érdekében az ASUSTOR NAS-on.

Az alapértelmezett HTTP és HTTPS portok módosítása. Az alapértelmezett portok a 8000 és 8001.
A webszerver portjainak módosítása Az alapértelmezett portok a 80 és a 443.
Rendszeresen készítsen biztonsági másolatot, és gondoskodjon arról, hogy a biztonsági másolatok naprakészek legyenek.
Kapcsolja ki a terminál/SSH és SFTP szolgáltatásokat, valamint a nem használt szolgáltatásokat.

A növekvő számú ransomware támadásra válaszul az ASUSTOR elkötelezte magát a vállalati szabályzatok belső felülvizsgálata mellett, hogy visszaszerezze az ügyfelek bizalmát. Ez magában foglalja, de nem kizárólagosan, a lehetséges biztonsági kockázatok fokozott figyelemmel kísérését, valamint a szoftver- és hálózati védelem megerősítését. Az ASUSTOR nagyon komolyan veszi a biztonságot, és elnézést kér az esetleges kellemetlenségekért."

Ez utólag nem sok segítség a beragadt nasoknak. "esetleges kellemetlenségek"

Manuálisan is lehet telepíteni a firmware-t ugye? Arra gondolok, hogy letöltöm és egy pendrive-ra másolom, majd csatlakoztatom a NAS-hoz. Most épp melóban és nincs időm ránézni, de mintha volna olyan, hogy manual update...

"The quieter you become, the more you are able to hear..." ― Ram Dass

Nekem néhány éve volt zsarolóvírusból károm, és kb egy évvel később sikerült visszakódolni az állományt, szóval érdemes elmenteni a kódolt adatokat.
Itt a fórumban próbálkoznak a visszafejtéssel:
[link]
a már váltságdíjjal megvett dekódolót és a fájlokat is próbálják ellemezni.

@nem csak neked írom ezt, de a te írásod motivált rá.

a többség azt gondolja, hogy a kapott szolgáltatói eszköz (T, Voda..) pont jó lesz neki.. sajnos ez legtöbbször nem igaz, még akkor se, ha nem akar rajta átállítani semmit se.. nyilván a szolgáltató is költség érzékeny és a hangzatos minimum cím szavakat fogja biztosítani, biztonsági okból viszont többnyire kifogásolhatóak, korlátozottan állíthatóak!
(kedvenc költséghatékony példám a digi volt, akinek a routerében csak 1 port volt gigabites a többi csak 100-as! rengeteg felhasználó meg a 100-as csatlakozón kapcsolódott a számítógépével észre se véve, hogy nem is fér hozzá a kifizetett gigabites netéhez..)

Igenis kell egy saját router, szolgáltatói eszközt pedig úgy használni, hogy azon csak átfolyik akadály nélkül az adat ("passthrough" mód").
UPnP laikusoknak kényelmes és egyszerű, de az egyik legnagyobb biztonsági rés!
Hasonlóan sokat szajkózott és fontos dolog, mint a kell 2. és 3. mentés is. => UPnP le kell tiltani!
Olcsóbb fizetni pár ezer forintot valakinek egy router beállítására, mint utána az adatainkat pótolni. Ráadásul a youtubeon kb minden routerthez vannak beállítási videók, port nyitásra, kicsi informatikai érdeklődéssel, könnyen vehető akadály. A routerek itteni fórumain is biztos adnak segítséget, vagy le van írva az összefoglalóba.

Ugyanígy a NAS automata megoldásait is sajnos nem érdemes igénybe venni. (EZ-Connect..)
Egyedi portok beállítása stb.

Remélem @Gawamatsu megkapja a topik gazdai jogkört és akkor biztosan össze tudunk hozni / tud a közösség pár hasznos segédlettel segíteni.

van manual update gomb!

én inkább lekapcsoltam a nas-t, nem lenne jó ha a biztonsági intézkedések (átírás, szolgáltatás kikapcs, stb) ellenére is beszívná ezt a hülyeséget...
tudom és mindenki írja is hogy 2-3 backup, de ha épp arra volt keretem hogy ezt megvegyem és összerakjam, akkor nincs backup

Érteni értem, de erősen nem "felhasználó barát". Most megveszel bármilyen eszközt az azonnal képes csatlakozni. Ha kikapcsolsz mindent, akkor viszont nem => elég sok felhasználói reklamáció lesz.
Szerintem a cégek a kettő között lavíroznak, hogy éppen melyik jár kisebb veszteséggel számukra.