aiuto cartella scomparsa

[nannosk]

ciao a tutti,
sono dieci anni che, sia per usi personali (a casa) che professionali, ho a che fare con nas qnap. e fino ad adesso non ho mai rimpianto altri prodotti.
ma stamattina è accaduta una cosa che se non chiarisco potrebbe farmi cambiare idea.....
allo studio ho una rete con una decina di client che si appoggiano per la condivisione dei dati ad un qnap 269 pro che ho da quasi due anni.
ebbene stamane alle 11.29 dei file hanno cominciato a non essere più disponibili fin quando una intera cartella è scomparsa davanti allo sguardo attonito e terrorizzato di una mia collaboratrice (in quella cartella c'è la nostra consegna che avremmo dovuto espletare oggi)......

bene backup dell'altro ieri e in 4 ore eravamo di nuovo operativi...ma che cosa è successo??? io non l'ho capito e questo mi preoccupa.

subito dopo la segnalazione della mia collaboratrice accedo alla pagina web di gestione del server e, pensando ad una accidentale cancellazione effettuata da qualcun altro dello studio vado diritto al cestino di rete ma niente. quindi vado nella pagina dei registri di sistema per verificare se effettivamente ci fosse una traccia di cancellazioni da parte di qualcuno ma niente, ne cancellazioni ne spostamenti nulla!!!! però noto una prima stranezza: dalla postazione della mia collaboratrice, che era connessa con il suo account al server, ad un certo punto è comparso il login di un account guest che però non ha fatto altro che leggere una serie di file .ini sparpagliati nel server, molte letture effettuate in pochi secondi. chiaramente un comportamento non "umano"...

quindi verifico se il server segnali un malfunzionamento dei dischi ma niente tutto ok.....secondo lui!!! semplicemente quella cartella non c'è.....quindi facciamo una ricerca mirata di qualche file contenuto nella cartella fantasma ed effettivamente 3-4 file compaiono come nascosti e non indicizzati...

da stasera ho avviato una serie di backup di sicurezza.....ma che fare domani??? il nas non è affidabile, non riesco a capire cosa gli sia successo e quindi non so come farlo ritornare affidabile ed operativo in tempi compatibili con uno studio che procede.......

ah non ho fatto l'ultimo aggiornamento firmware proprio perchè non volevo incorrere in inconvenienti in un momento delicato per le attività, ma in genere lo tengo sempre aggiornato.
barcollo nel buio e non considero adesso il mio server affidabile.....tra l'altro ho in me il grande dilemma:" ma sta cosa sarà accaduta anche ad altre cartelle in questo periodo e noi non ce ne siamo accorti????" chi sa!!!!!
se qualcuno ha una idea chiara su come procedere per far rientrare questa emergenza gli sarei estremamente grato se mi desse qualche consiglio.
grazie anticipatamente

[merluzzo]

però noto una prima stranezza: dalla postazione della mia collaboratrice, che era connessa con il suo account al server, ad un certo punto è comparso il login di un account guest che però non ha fatto altro che leggere una serie di file .ini sparpagliati nel server, molte letture effettuate in pochi secondi. chiaramente un comportamento non "umano"...

io comincerei da qui, cosi a naso sembra piu' un problema di sicurezza/virus/trojan, perche' un client dovrebbe cercare i file *.ini di un server?

semplicemente quella cartella non c'è.....quindi facciamo una ricerca mirata di qualche file contenuto nella cartella fantasma ed effettivamente 3-4 file compaiono come nascosti e non indicizzati...

quindi i files e la "cartella fantasma" esistono ancora, sono stati marcati come nascosti e basta, sei riuscito ad accedere ai contenuti di questi files? Li hai letti e il loro contenuto e' quello che dovrebbe essere?

se qualcuno ha una idea chiara su come procedere per far rientrare questa emergenza gli sarei estremamente grato se mi desse qualche consiglio.
grazie anticipatamente

di idee chiare senza le macchine sotto mano non ne ho, al posto tuo farei:
1) staccare tutti i client dalla rete
2) impedire l'accesso a utenti guest sul nas
3) installazione di un server log stand alone (rsyslog) settato al massimo grado di reporting
4) scan antivirus sul nas
5) antivirus, spyware e trojan su tutti i client, ovviamente staccati dalla rete e ricollegati ad essa solo dopo accurata verifica.
6) messa in quarantena e controllo particolarmente approfondito della postazione da cui sono partite le letture degli *.ini non escludendo un bel formattone e reinstall del s.o. per sicurezza.

[nannosk]

grazie per il tempo che mi hai dedicato.

riguardo al guest sono d'accordo, infatti ho avviato una serie di controlli il cui esito per il momento è negativo. effettivamente sta cosa del guest è strana soprattutto perchè io non ho utenti guest definiti e quindi, tra l'altro, non posso attribuirgli alcun permesso o diniego.....

i files recuperati erano nascosti e non indicizzati, apribili quindi funzionanti

ok continuo il controllo virus e altro...ma il problema del guest non saprei come approcciare non ho utenti guest...
grazie ancora ti aggiorno sulle scansioni..

[merluzzo]

figurati, so cosa si prova quando vedi "i figli" in pericolo ;-)
per il guest guarda qui https://www.qnap.com/i/it/trade_teach/c ... wone&cid=6 forse ti e' utile, in ogni caso prima di modificare i permessi studiaci un po' sopra, non e' cosi banale come potrebbe sembrare.
Se i files si vedono e si aprono va bene, che c'e' in giro un po' di porcheria che ti "sequestra" i files criptandoli e ti chiede soldi in riscatto per avere la password.

Mi sembrava ovvio ma meglio dirlo, devi controllare (antivirus etc) anche tutti i backup che hai.

[nannosk]

non credo di andare troppo OT (o si?) ma questo fatto del guest ha qualcosa di oscuro per me: non capisco come da una postazione loggata con l'account di un utente definito, senza un loggout, si possa "anche" connettersi come guest...

comunque qualche cosa è venuto fuori dalle scansioni....domani controllo...
ciao

[merluzzo]

non credo di andare troppo OT (o si?) ma questo fatto del guest ha qualcosa di oscuro per me: non capisco come da una postazione loggata con l'account di un utente definito, senza un loggout, si possa "anche" connettersi come guest...

Nel tuo caso (in poche parole o quasi) ogni s.o. ha un buffer per le connessioni, basta un task che gira in background e ogni tot tempo controlla se c'e' uno slot libero nel buffer e lo usa assegnandoli specifici parametri di connessione e facendo la scansione di tutti i server per enumerare i files *.ini.
Il buffer puo' essere parecchio "spazioso" e consentire anche migliaia di connessioni.
Per rendertene conto puoi farlo a mano tu stesso, ti logghi al pc client, apri una connessione per la condivisione delle cartelle sul nas, apri prg come putty e ti connetti in ssh allo stesso server, apri ftp e hai un'altra connessione, apri telnet e ne hai un'altra ancora dando le credenziali di accesso che vuoi per ogni singolo link. Visto? Lo stesso utente pc si collega a N server e N servizi.
Ora supponi un task che gira con diritti amministrativi.. puoi fare letteralmente di tutto.

comunque qualche cosa è venuto fuori dalle scansioni....domani controllo...
ciao

buona disinfestazione