ASUSTO NAS összefoglaló

Asustor NAS választó segédlet
Asustor NAS-ok által használt alapértelmezett portok.

A Deadbolt (ransomware) támadást megelőzendő az Asustor javasolja, hogy:
- az alap ADM hozzáférés portjainak átállítását a 8000/8001-ről
- a web access portokat 80 és 443-ról
- letiltani az EZ-Connect-et
- letiltani az SSH, SFTP szolgáltatást (átállítani az SSH portot)
És menteni, menteni, menteni.

Ha már elindult a titkosítás (100% közeli CPU terhelés, elérhetetlen ADM felület, elérhetetlen share tartalom), akkor vissza lehet szerezni a hozzáférést az ADM felülethez.

Ha ezt látod az ADM felületre csatlakozáskor, akkor érintett vagy:

0. Ne kapcsold ki a a NAS-t csak úgy
1. Hivatalos Asustor megoldás, ha már inicializálandó állapotban van a NAS
2. Tapasztalati úton, Reddit megoldás (kell hozzá SSH, admin account) - így fértem hozzá én is, és nem kellett kb 5 napot várni a gyártóra

Manuális módi.
1. Kell egy terminál kliens, pl Putty és admin account/jelszó, na meg nyitott SSH port.
Ha nincs, mobil alkalmazásból (AiMaster) be lehet kapcsolni, azt nem érintette a támadás.
2. Csatlakozz rá a NAS-ra a belső/külső IPcím, SSH porttal (alap 22)
Néhány parancs permission denied-dal megállhat, elé rakva, hogy sudo, lefut (kér admin jelszót)
3. A terminálban (parancssoros nézet) a Crontab paranccsal szerkezszteni kel laz indítótáblát
crontab -e
4. Lesz egy bejegyzés, cgi_install néven, törölni kell azt a sort
*/1 * * * * /bin/sh /usr/builtin/etc/cgi_install
Ha törölted, mentéssel ki kell lépni (mire erre rájöttem, googliztam, elment egy óra.
Esc, majd írd be :wq (write és quit)
5. Most törölni kell a deadbolt által módosított cgi_install file-t
rm /usr/builtin/etc/cgi_install
6. Aztán könyvtárat váltani a cgi_install helyére és lecserélni mentésből a rosszat
cd /usr/webman/portal
chattr -i index.cgi
rm index.cgi
cp index.cgi.bak index.cgi
Ha nincs index.cgi.bak (mentés), akkor itt egy mentett a 4.0.3.RQ81 ADM-hez, Reddit usertől (de hogy varázsolod a NAS-ra, nem tudom)
7. Ez visszaállítja az ADM portál elérhetőségét az eredeti állapotra
8. Ha be tudtál lépni azonnal kapcsold ki az EZ-Connect-et és blokkold a kapcsolatot a NAS felé, ha van rá mód
9. Módosítsd az accountok jelszavát (már nem enged 6 karakternél rövidebbet), az Auto-Update-et kapcsold ki (szólni szólhat, de ne menjen fel magától), ADM Defender beállítása (Auto Blacklist, Blacklist, Whitelist és pl Allways allow local hálózat beállítása)
10. Frissítsd a NAS-t
11. Így, hogy már nem kell, SSH letiltása, Web szerver letiltása/portjainak átírása, ami nem kell, annak törlése, portjainak zárása
12. Szintén terminálból megnézheted mit titkosított, nevezett át a kártevő:
sudo find / -type f -name "*.deadbolt"- kér admin jelszót, közben a kurzor nem mozog
Az alábbi paranccsal vissza lehet nevezni őket:
sudo find . -name "*.deadbolt" | while read i; do sudo mv "$i" "${i%.deadbolt}"; done - ez azért jó, mert nem minden fájlt titkosított egyből. Elsőnek csak átnevezte őket és esélyes lehet így pár megmentése, ha nem volt mentve

Ha volt mentésed akkor én a full resetet javaslom. Én is ezt tettem - a fentiek után - mert még mindig nem lehet tudni mi maradt hátra belőle.
Ahogy azt sem egyszeri alkalom volt a támadás vagy hullámokban jön.
A resetnek több módja van, de mint az összes a HDD-ken tárolt összes fájl törlésével jár!
1. Mobil alkalmazásból
2. Az ADM felületen Settings, Factory reset
3. A NAS hátulján a RESET gomb nyomása
4. Kikapcsolt állapotú NAS kivett lemezekkel indítása
- Bekapcsolás és a pitty-re várás (ez jelzi, hogy bebootolt sikeresen)
- NAS megkeresése Asustor Control Center-rel vagy pl a routerben megnézni milyen IP-t kapott és alap porttal belépni (http:8000/https:8001)
- Kéri, hogy helyezd be a HDD-t (egyszerre egyet
- A varázsló a betolt HDD-k számától függően javasol konfigot
- Ha kész az alap beállítás, aminek során kér admin felhasználó létrehozást System Admin jogokkal, végigmehetsz a korábbiakon, mint ADM frissítés, port módosítás, alapértelmezetten engedélyezett szolgáltozások tiltása, portok zárása, share-ek, felhasználói fiókok létrehozása.

Ha Raid-be raksz HDD-ket, erősen javaslom a raid sync befejeződését, mielőtt elkezdesz másolni rá.
A Sharek létrehozása nem befolyásolja a sync-et, a másolás igen. Drasztikusan csökken a sync és másolás sebessége. Átlag 106MB/s-cel ment a R5 sync 3 lemeznél, ha másoltam is rá közben (ez lement 60-ra, a másolás meg kb 30-cal ment, USB3.0-ról, tehát, mintha azt a 106-ot osztaná, holott a SATA6 tudna 500MB/s-et is. Mondjuk annyit sosem tudott HDD-vel (kb 150MB/s-et tud max), SSD-vel talán. AS6104T esetén.

Javaslatok.
Kamera adatfolyamot nem rögzítenék Raid tömbre. Max akkor ha csak és kizárólag az van rajta.
NVR-re NVR-re gyártott HDD javasolt. WD Purple, Seagate Surveillance...
Minden más feladatra NAS HDD, nem asztali (WD RED, Seagate NAS, Toshiba N sorozat)
HDD összehasonlítás NAS szempontból itt.

Könyvtár tartalom x idő utáni törlése ADM szinten nem megoldott, de van rá egy trükk, amit a Support javasolt.
Röviden a kerettörténet:
Surveillance Center szolgáltatásai instabilak, már valamiért nem ismerik fel a kamerákat.
FTP alapú rögzítés megy. Quota-zni lehet, de az nem törli a régi fájlokat ha betelik ill időalapú törlés sem lehetséges.
A tanács az volt, hogy létrehozni egy üres könyvtárat bárhol és a "tartalmát" 1:1 sync-kel internal backupozni a kamerák rögzítési könyvtárába, azzal törölve a tartalmat.
A keep existing extra files kapcsolót ne nyomd be hozzá.
Mivel időzíthető, akkor fut le amikor akarod.

A sima asztali vinyók hosszú távú használatnál többet fogyasztanak és a leállítás/indítási ciklusuk is másra van kitalálva, lásd fenti összehasonlítás.