Hirdetés

2023. február 9., csütörtök

Gyorskeresés

Hozzászólások

(#1) erer1000


erer1000
őstag

tudom hülyeség volt nyitva tartani a DMZ-t, de 12 karakteres jelszó, kis nagybetű, + számok azthittem jó valamire...
ebből tanultam, viszont a kérdés adott, mi tévő legyek a le nem titkosított file-okkal, illetve hogy a NAS-ból ki lehet-e pucolni valahogy

M5A99X-EVO R2.0 , 1050Ti, 4x8GB 1960MHz , FX 8350@4,4GHz, 1x3TB+2x1TB HDD, 120GB+480GB+1TB SSD || HP Pavilion 15-CX0000NH

(#2) Cucuska2


Cucuska2
őstag

A Zyxelnek sebezhető a rendszere? Vagy hogyan tudott futni a vírus?

Rock and stone, to the bone! Leave no dwarf behind!

(#3) Samus


Samus
addikt
LOGOUT blog (1)

A cucc valószínű a lemez minden részén ott van, ha több lemez van, valószínű mindegyiken. Az biztos, hogy nem raknám át máshová. Ha jól olvastam, egy direkt Samba szervereket megfertőző cuccot kaptál.

Hirtelen keresve nem találtam dekriptert ehhez, de lehet, hogy a pát létező közül egy működik vele.

Eső után köpönyeg, de szakdolgozatot Google Dokumentumokban írnám, az atomtámadás ellen is védett...

[ Szerkesztve ]

'' Az élet egyszerű. Döntéseket hozol és nem nézel vissza.'' // Tomorrow's just your future yesterday!

(#4) erer1000 válasza Samus (#3) üzenetére


erer1000
őstag

szakdolgozat írással kapcsolatosak azon vannak :R

igen, 2 lemez van :( viszonylag sok adattal már

M5A99X-EVO R2.0 , 1050Ti, 4x8GB 1960MHz , FX 8350@4,4GHz, 1x3TB+2x1TB HDD, 120GB+480GB+1TB SSD || HP Pavilion 15-CX0000NH

(#5) Cucuska2 válasza Samus (#3) üzenetére


Cucuska2
őstag

Én GitHubon tartom a szakdolgozataimat. ;)

További előny, hogy a kutatócsoportunk összes tagjának gépén is ott van, még sok országgal arrébb is. :DDD

[ Szerkesztve ]

Rock and stone, to the bone! Leave no dwarf behind!

(#6) DarthSun


DarthSun
nagyúr

Hű, jó lesz vigyázni. Nálam a router és a NAS is külön jelszóval védett, viszont külső elérés/domain nincs hozzárendelve, így is bejöhet ilyen alattomos féreg ?

(#7) erer1000 válasza DarthSun (#6) üzenetére


erer1000
őstag

nekem is külön jelszó.

Transmission torrent app és zyxel drive mobil appok kívülről hozzáférhettek nálam

M5A99X-EVO R2.0 , 1050Ti, 4x8GB 1960MHz , FX 8350@4,4GHz, 1x3TB+2x1TB HDD, 120GB+480GB+1TB SSD || HP Pavilion 15-CX0000NH

(#8) DarthSun válasza erer1000 (#7) üzenetére


DarthSun
nagyúr

Akkor talán valamelyik kódja/sebezhetősége a gond. Valamelyik kliens eszközödön vagy a NAS oprendszerén el kell hogy induljon a fertőzéshez.

(#9) t72killer


t72killer
titán

Az lehet, hogy egy írási joggal rendelkező winfosch kliensen futott a féreg? Nem vmi biztonságosabb féle linux megy ezeken a nas-okon:F?

Mielőtt a fájlok mentésének nekikezdenél, egy kaspersky/egyéb liveUSB-s féregirtást javaslok a NAS-on és az összes kliensen. Utána egyrészt nem kéne, hogy bármi egye a fájljaidat, másrészt biztonságosan kezelheted/másolhatod a tartalmát.

[ Szerkesztve ]

Mindig meglep milyen sokan hiszik el, hogy van ingyen ebéd.

(#10) erer1000 válasza t72killer (#9) üzenetére


erer1000
őstag

mobilom, asztali gép és a laptopom volt csak kliens.

NAS-nál nem tudom milyen mélyen ette bele magát a rendszerbe ilyenkor, hogy egy factory reset elég vagy firmware újrahúzás

M5A99X-EVO R2.0 , 1050Ti, 4x8GB 1960MHz , FX 8350@4,4GHz, 1x3TB+2x1TB HDD, 120GB+480GB+1TB SSD || HP Pavilion 15-CX0000NH

(#11) t72killer válasza erer1000 (#10) üzenetére


t72killer
titán

Én "kívülről" húznám újra a FW-t, nem a beépített factory resettel.

Mindig meglep milyen sokan hiszik el, hogy van ingyen ebéd.

(#12) erer1000 válasza t72killer (#11) üzenetére


erer1000
őstag

mivel nem tudok belépni a NAS-ba , mert az admin jelszó is módosítva lett, így a beépítettel nem is igazán tudok mit kezdeni első körben

M5A99X-EVO R2.0 , 1050Ti, 4x8GB 1960MHz , FX 8350@4,4GHz, 1x3TB+2x1TB HDD, 120GB+480GB+1TB SSD || HP Pavilion 15-CX0000NH

(#13) t72killer válasza erer1000 (#12) üzenetére


t72killer
titán

Jogos, ennyi.

Mindig meglep milyen sokan hiszik el, hogy van ingyen ebéd.

(#14) Tamás88 válasza erer1000 (#12) üzenetére


Tamás88
őstag

Resetelni nem tudod, mert általában ezeket az eszközöket simán lehet resetelni. Próbáld meg ezt.

(#15) galaxys80


galaxys80
veterán

Én is a "szerencsések" között voltam akik megkapták kb 2 hete. :(( Azóta a Zyxel fórumban már többen is jelezték.
Nekem a 2 HDD közül csak az egyiket érintette a titkosítás. A fertőzött HDD-ről ami még menthető volt azt mentettem egy külső HDD-re, aztán teljesen leformatáltam a teljes HDD-t.
Nekem windows sem volt a rendszerben és semmilyen külső elérés vagy portnyitás sem volt. DMZ és UPNP sem volt.
Amiben talán hibáztam, hogy a vendég (jelszó nélküli) felhasználónak is adtam írási jogot korábban SMB-n.. Illetve az SSH folyamatosan engedélyezve volt a NAS-on.
Azóta elvettem az írási jogot a jelszó nélküli felhasználótól, kikapcsoltam az SSH-t. Illetve kikapcsoltam az FTP-t is. A NAS logja alapján szinte folyamatosan FTP-n keresztül próbáltak bejutni kívülről.
Amióta ezeket megtettem a log alapján nyugalom van, nincsenek próbálkozások.

[ Szerkesztve ]

(#16) galaxys80


galaxys80
veterán

Itt [link] egyébként írnak bővebben a vírusról.

(#17) galaxys80


galaxys80
veterán

A másik ami lényeges infó lehet, hogy tulajdonképpen nincsen vírus magán a nas-on, hanem kívülről sambán keresztül történik a titkosítás. Magyarán a le nem titkosított fájlokat elvileg nyugodtan le lehet menteni és visszaállítani, mert nem fertőzöttek.

(#18) erer1000 válasza galaxys80 (#17) üzenetére


erer1000
őstag

Igen?

Ez részben jó hír, de részben elég ijesztő is.

M5A99X-EVO R2.0 , 1050Ti, 4x8GB 1960MHz , FX 8350@4,4GHz, 1x3TB+2x1TB HDD, 120GB+480GB+1TB SSD || HP Pavilion 15-CX0000NH

(#19) Cifu válasza galaxys80 (#16) üzenetére


Cifu
nagyúr

WoW!

Ez alapján jó, hogy én eleve csak lokális elérést engedtem eddig is. :U

A bejegyzéshez: ez alapján nincs még decryptor. Sajnos a legjobb, amit tenni tudsz, hogy kiveszed a lemezt (lemezeket), és megvárod, amíg lesz egy NamPoHyu decryptor. Gondolom 250$-t nem szeretnél fizetni... :(

Légvédelmisek mottója: Lődd le mind! Majd a földön szétválogatjuk.

(#20) icemad


icemad
nagyúr

Pár napja írtál ubisoftos belépésekről. Nem függ össze valahogy a kettő?

Éhes makk, disznókat álmodik, avagy bagoly nyomja verébbe a nagyfejűt...

(#21) galaxys80 válasza Cifu (#19) üzenetére


galaxys80
veterán

90%-ban a rajta lévő dolgokról volt mentésem máshol is. A filmek amik elvesztek meg letöltöttem újra. Kb 20-30 olyan képem lett ami elveszett.
Én a le nem kódolt adatokat lementettem egy külső HDD-re. A fertőzött HDD-t leformatáltam, majd a mentést innen-onnan visszamásoltam.

Nem tudom a lokálist mire érted pontosan, de nálam sem volt külső elérés engedélyezve. Nem voltak portok sem nyitva.

[ Szerkesztve ]

(#22) Cifu válasza galaxys80 (#21) üzenetére


Cifu
nagyúr

Nálam a Samba egy linux alatt fut, szóval ez más tészta. ;)

A lokális elérés engedélyezése annyi, hogy be van állítva a Samba.conf fájlban az, hogy csak adott IP-kről fogadjon el meghívást.

Gondolom a Zyxel esetében ez egy kapcsoló lehet(ett).

Légvédelmisek mottója: Lődd le mind! Majd a földön szétválogatjuk.

(#23) galaxys80 válasza Cifu (#22) üzenetére


galaxys80
veterán

A NAS-on is linux fut nem?
Egyébként én meg OSX-et használok. :)

(#24) Cifu válasza galaxys80 (#23) üzenetére


Cifu
nagyúr

Yepp, de élek a gyanúval, hogy ő nem egy Samba.conf fájlt szerkesztget, hanem különféle kapcsolókkal teli GUI-n állítgatja a dolgokat. :)

Jó ideje nem volt dolgom Zyxel cuccokkal, de amennyire rémlik, anno nem lehetett korlátozni a fogadott IP-k alapján a HOSTS-okat, csak user és group alapján lehetett meghatározni, hogy mit engedélyezel nekik.

Légvédelmisek mottója: Lődd le mind! Majd a földön szétválogatjuk.

(#25) galaxys80 válasza Cifu (#24) üzenetére


galaxys80
veterán

Ez így van. Amiben én nagyot hibáztam az az volt, hogy a vendég, jelszó nélküli usernek is adtam irási jogot.
Bár a gyanúm szerint én FTP-n keresztül kaptam be. Napokig látható volt a logban még utána is, különféle ip-ről be akarnak lépni. Aztán mióta kikapcsoltam az FTP-t nem látok semmi rendellenességet.

(#26) Cucuska2 válasza galaxys80 (#25) üzenetére


Cucuska2
őstag

Sokan térképeznek fel portokat, Shodan is ezt csinálja, mindig fel is hívja rá a figyelmet.
Apropó, az én avatarom is Shodan.

Rock and stone, to the bone! Leave no dwarf behind!

(#27) galaxys80


galaxys80
veterán

[link]

Nem tudom, hogy működik-e. Nekem már nincsen egyetlen lekódolt fájl sem meg, így nem tudtam kipróbálni.

Copyright © 2000-2023 PROHARDVER Informatikai Kft.