Attacco hacker su TS-253A, help!

[marcottt]

molto probabilmente autorun.sh viene riscritto quando si installano app di terze parti di dubbia provenienza, spacciate per originali, lasciando dentro una backdoor, poi passano da li.

Io non ho mai installato app terze, anzi a dire il vero c'è solo malware remover e torrent download.

Le password sono discrete e era pubblicata http e https.

Mi sono trovato autorun "sporco" ma non file criptati.

Inviato dal mio SM-G935F utilizzando Tapatalk

[selvaggi]

per il momento non ce modo di decriptare i file, ti conviene salvarlo su un hdd esterno e tenerlo li da parte poi quando esce si procederà

mi dici a livello di sicurezza come sei settato?, app, antivirus, impostazioni di sistema ecc.
da qualche parte deve passare!
il file autorun.sh è scritto? hai installato app di terze parti? ecc.

allora... cambio di programma.
per il momento eCh0raix ransomware tenta un brute force delle password e tutti quelli che hanno la password debole e in ogni caso senza il blocco dei ip dopo xx tentativi cadono, e in quel caso il virus entra e cripta i file di Microsoft Office e OpenOffice, documenti PDF, foto, musica, video e altri tipi comuni di dati.
il primo passo è quello di attivare la protezione del blocco ip che trovate nel pannello di controllo.
il secondo passo è quello di cambiare il nome utente admin in un altro nome scelto da voi, la guida la trovate in questo link https://www.qnap.com/it-it/how-to/tutor ... tenteadmin

in più in questa guida spiega più in dettaglio che fa, chi sono colpiti e come far tornare disponibili i file.
guida 1: https://www.ransomware.it/decryptor-gra ... qnapcrypt/
guida 2: https://www.2-spyware.com/remove-ech0ra ... mware.html
guida 3: https://www.bleepingcomputer.com/ransom ... -for-free/

[marcottt]

Ottimo. Come si bloccano ip dopo x tentativi? Non ricordo questa opzione.

Inviato dal mio BAH-W09 utilizzando Tapatalk

[PiaNi]

@ marcottt: Impostazioni > pannello di controllo > sicurezza

@selvaggi: l'account admin non si può cambiare, almeno una volta era così. Sicuramente lo si può castrare nelle potenzialità e lo si può dotare di una password come si deve!!

[selvaggi]

da me lo ha cambiato, rimane disattivato (se vuoi lo riattivi) e fai tutto con il nuovo, devi reimpostare tutti programmi, app, ecc. per farlo funzionare, ma va bene.
tutte le prove che ho fatto dicono che l'account non esiste o non più valido.

[Mr. Jack]

@selvaggi: l'account admin non si può cambiare, almeno una volta era così. Sicuramente lo si può castrare nelle potenzialità e lo si può dotare di una password come si deve!!

Io ho creato un nuovo account con privilegi di amministratore, sono entrato con quello ed ho disabilitato l'account admin (non si può eliminare).

OT L'unica "cavolata" che ho notato è che i file scaricati (con download station e transmission) hanno comunque come owner l'utente admin, anche dopo la disabilitazione. Boh.

[DjMarvel]

Come si vede se si è stati infetti?
Gli ultimi firmware hanno risolto il problema?

[gipasoft]

Anche il mio Qnap alcuni mesi fa è stato oggetto di un attacco hacker, per fortuna non così grave come sembra essere muhstik (ero diventato a mia insaputa un minatore di bitcoin), da allora, su consiglio dell'assistenza qnap, ho introdotto alcune importanti modifiche nella gestione del mio Qnap:

• modificare la password di PhpMyAdmin usando una strength password, ero stato così fesso da lasciare la password di default, sembra che molti degli attacchi sfruttino le `debolezze` di PhpMyAdmin

• cambiare tutte le password degli utenti configurati sul Qnap

• attivare OpenVpn sul Qnap usando una porta > 50000 in modo da poter accedere dall'esterno solo usando OpenVpn

• tenere chiuse tutte le porte del router (prima il mio Qnap era esposto pubblicamente), ovviamente esclusa quella usata per OpenVpn

[gerind7]

Anche il mio Qnap alcuni mesi fa è stato oggetto di un attacco hacker, per fortuna non così grave come sembra essere muhstik (ero diventato a mia insaputa un minatore di bitcoin), da allora, su consiglio dell'assistenza qnap, ho introdotto alcune importanti modifiche nella gestione del mio Qnap:

• modificare la password di PhpMyAdmin usando una strength password, ero stato così fesso da lasciare la password di default, sembra che molti degli attacchi sfruttino le `debolezze` di PhpMyAdmin

Ciao cosa è PhpMyAdmin?

[oncelot]

scusate ragazzi ma nessuno di voi ha configurato lo snapshot?
con lo snapshot recuperate i file danneggiati, addirittura qnap stesso ha simulato un attacco di tipo ransomware e ha ripristinato i file con lo snapshot

[marcottt]

se può essere utile per qualcuno:

https://tech.everyeye.it/notizie/crimin ... 04249.html

[B747]

attivare OpenVpn sul Qnap usando una porta > 50000 in modo da poter accedere dall'esterno solo usando OpenVpn

ciao, una info:
openVpn si gestisce tramite Qvpn? Non sarebbe sufficiente, invece di esporre il nas (ad es. tramite un dyndns), utilizzare il servizio myqnapcloud?

grazie, ciao
Gianluca

[selvaggi]

Openvpn si gestisce con qvpn e la guida la trovi nei tutorial
Myqnapcloud è un ddns quindi è uguale a tutti gli altri dyndns compreso

[B747]

Openvpn si gestisce con qvpn e la guida la trovi nei tutorial

grazie, ci guardo (era per capire se inziavo dal libro giusto :-)

Myqnapcloud è un ddns quindi è uguale a tutti gli altri dyndns compreso

però io ho attivato la verifica in due passaggi (via sms) e quando tento di accedere da un nuovo computer mi chiede il codice inviato via sms, questo non aumenta la robustezza?

grazie, ciao
Gianluca

[Mr. Jack]

Questa mattina ricevo sul cellulare dall'app qnap una marea di notifiche di tentativi di accesso (3 ogni 2 minuti) dell'utente admin (che fortunatamente ho disabilitato) da 'ip esterno (192.185.19.202)
Sono subito andato a bloccarlo nella sezione "Sicurezza", ma vorrei chiedere ai più esperti: è possibile che oltre al NAS sia stato tentato attacco anche ad altro, ad esempio al router? COme faccio a verificarlo?
Grazie a chi mi saperà aiutare.

[qdrago]

Anche a me è successo domenica mattina. L'indirizzo era diverso da quello, ma poco conta. Non è riuscito ad entrare, ma alla fine ho staccato il cavo di rete. Siccome sono da poco possessore di un nas, mi chiedevo se questo tipo di intruzioni sono all'ordine del giorno? Sono sufficienti tutte le precauzioni che adottiamo?

[Mr. Jack]

Per stare tranquillo, ieri sera ho chiesto a Fastweb la disattivazione dell'ip pubblico. Tanto da quando ce l'ho non mi è mai capitato di dover accedere ai miei file dall'esterno, preferisco non rischiare.

[gipasoft]

Anche il mio Qnap alcuni mesi fa è stato oggetto di un attacco hacker, per fortuna non così grave come sembra essere muhstik (ero diventato a mia insaputa un minatore di bitcoin), da allora, su consiglio dell'assistenza qnap, ho introdotto alcune importanti modifiche nella gestione del mio Qnap:

• modificare la password di PhpMyAdmin usando una strength password, ero stato così fesso da lasciare la password di default, sembra che molti degli attacchi sfruttino le `debolezze` di PhpMyAdmin

Ciao cosa è PhpMyAdmin?

Rispondo un po' in ritardo: Applicazione web per la gestione MySql su Qnap (mysql è usato ad esempio da Qsync) spesso gli hacker utilizzano bug noti di vecchie versioni dell'app per aver accesso al server