关于 TNAS 受到勒索病毒攻击的紧急通知

[TMzethar]

希望官方升级补丁能升级samba到最新版！

2017年5月24日Samba发布了4.6.4版本，中间修复了一个严重的远程代码执行漏洞，漏洞编号CVE-2017-7494，漏洞影响了Samba 3.5.0 之后到4.6.4/4.5.10/4.4.14中间的所有版本。
我们已经注意到这个可能性，目前 x86架构版本不存在这样的问题，arm架构的Samba版本将尽快在未来的TOS版本中更新。

[bruce0807]

bruce0807 写了:
>
> 请问传统的数据恢复会有作用么？有文章说病毒是创建副本后删除原文件，如果之后没有写操作的话，理论可以恢复。不知道这个变种是不是也可行？即使可行，Raid5的Btrfs数据恢复是否有难度？

@管理员， 能否回复一下这个问题，谢谢。如果不可行，我就不折腾了，直接格式化了。

[TMjack]

BTRFS文件系统可以对共享文件夹创建快照，群里有小伙伴说中了勒索病毒后，恢复到原来的一个指定时间就可以了。理论来说这点是可行的，只要硬盘没有重新格式化过。
RAID的作用是防止硬盘损坏，导致数据丢失。数据恢复还原时是没法还原之前某个时间段的数据，仅针对硬盘当前的数据进行还原的。

[bruce0807]

TMjack 写了:
>
> BTRFS文件系统可以对共享文件夹创建快照，群里有小伙伴说中了勒索病毒后，恢复到原来的一个指定时间就可以了。理论来说这点是可行的，只要硬盘没有重新格式化过。
> RAID的作用是防止硬盘损坏，导致数据丢失。数据恢复还原时是没法还原之前某个时间段的数据，仅针对硬盘当前的数据进行还原的。

多谢回复，我指的恢复不是快照还原，是用一些数据恢复软件来恢复误删文件的方法，如果病毒是先加密，后删除原文件，那么这就和误删除一样了，不知能否成功恢复。家里没有台式机，没法挂raid5的3块硬盘测试，所以问一下官方，如果有希望就搞个台机折腾看看

[snowendless]

TMjack 写了:
> [quote=mxzfzy post_id=7766 time=1641980937 user_id=82]
> 冷火冷雨 写了:
> >
>
> 我疑惑的是视频全部没被加密，很有良心，至少还让我和小姐姐继续交往，别的所有的全部被加密。疑惑的是我电脑PC端没任何问题，也没用什么不明软件，NAS就是存取PC端的东西，大部分是小姐姐，没有中毒的途径啊，我前提8点多关电脑的时候还看了一眼NAS的文件还是好的，半夜用手机和小姐姐交往就发现有莫名其妙的readme文件，但是和小姐姐交往能看视频我也没想多，早上起来用PC一看，靠，全加密了，还好有快照，恢复了。
> [/quote]
>
> 勒索病毒有分针对不对的系统，如Linux、Windows、MAC系统，TNAS是Linux，而PC是Windows系统，其运行环境与工作方法是不一样的。

我们的勒索病毒，在NAS和PC上都中了，所有的文件都被改成了eight后缀

[texsd]

xiaodong 写了:
>
> 因为担心SambaCry所以今天刚准备看看最新的升级包有没有升级samba（结果真的没有升级，还是4.4.13）就看到这个贴子，庆幸自己没有中招，看了几位朋友的描述可能跟TOS的服务有关。我再购入F2-210不久就自己把所有TOS的远程服务删除，包括不限于TNAS.link等相关程序。提供给有需要的以供参考，希望官方不要删除：
>
> rm -rf /sbin/{regcloud,nasips,restart_service}
> rm -rf /etc/init.d/{nasips,online,msg,msgcenter}
> rm -rf /etc/rc.d/{K100shutdn,S11syscontrol}
> rm -rf /etc/sc.d/{afp,ftp,nasips,nfs,telnet_service}
> rm -rf /etc/nginx/{*.link.crt,*.link.key,server.crt,server.key}
> rm -rf /etc/nginx/ssl/{*.link.crt,*.link.key}
> rm -rf /usr/www/mod/{3.Backup,5.Tcloud,6.Help,7.Dgconsole}
> rm -rf /usr/www/include/ajax/dgconsole.php
> rm -rf /etc/base/.rootpass
> rm -rf /usr/bin/uptime
> sed -i 's/apphost\s=.*/apphost = http:\/\/google.com/g' /etc/.default.sys
> sed -i 's/\siniparse\s-a/ echo iniparse -a/g' /etc/rc.d/S99tosboot
>
>
> 以上可能包含官方备份功能（我自己用cron+shell自行外接USB硬盘盒备份），操作前谨慎考虑！仅供参考！
> 同时可以使用chattr +a来禁止root权限用户删除、更改重要文件


我说一句，tnas.online早就有大漏洞了，自从今年换了联通有公网ip后，就再也不用了。
理由如下：
不知道大家有没有注意到，默认的8181端口对于tnasonline是开放的，但是web端有些应用有自己的验证（vbox，微力同步等），如vbox可以直接通过ip:8181/vbox直接访问，绕过web系统自带登录。但是这些应用开始只有默认密码，甚至不加密，也就是说用admin admin就能直接登录，这就给了别人可乘之机。况且，vbox在选择镜像文件时是可以直接看到共享文件夹里面的东西的（vbox默认以root运行），微力同步更是有查看文件的选项，说句不好听的，只要猜到你的tnas-id，就完全有机会看你的文件。

那天我开放了8181端口出去，猛然发现这一个漏洞，那时我的威力同步没有设密码，赶紧就把它停止了，幸好转发的是一个非常偏的端口，估计没人扫得到，不然就让自己“真相大白”了。
现在也不敢把铁威马端口转发出去了，在虚拟机里面跑了个群晖，把群晖映射出去，在群晖里面只映射了公用文件夹，黑了也就算了。而且群晖还有个两步验证，安全性要比tos高。
————————————————————————————————————————————————————————————————————————————————————
在此强烈呼吁官方弄两步验证和修复网页端直接访问的bug！！
————————————————————————————————————————————————————————————————————————————————————

[snowendless]

xiaodong 写了:
> Jnjay 写了:
> >
>
> TOS作为NAS的后台管理界面肯定有很多漏洞，你直接暴露到公网真是心太大了，建议更改路由器策略不要开放TOS到公网，用sftp或者其他web文件管理器（如kodexplorer个人版）。ssh/sftp也必须该端口
你好，请问如何把NAS的文件放到公网上供人下载？

[texsd]

xiaodong 写了:
>

@xiaodong
请问能提供下crontab的配置教程吗？是在/etc/cron.d配置的system还是/var/spool/cron/crontabs的root弄的呢？
我自己试了发现重启就会失效，而且貌似开不起来crond服务，命令就不会定期执行，请多指教，多谢！

[texsd]

snowendless 写了:
> xiaodong 写了:
> > Jnjay 写了:
> > >
> >
> >
> TOS作为NAS的后台管理界面肯定有很多漏洞，你直接暴露到公网真是心太大了，建议更改路由器策略不要开放TOS到公网，用sftp或者其他web文件管理器（如kodexplorer个人版）。ssh/sftp也必须该端口
> 你好，请问如何把NAS的文件放到公网上供人下载？

你可以用域名登录后用文件管理中 右键文件——分享来创建分享连接，但我不推荐（理由看我上一条回复）
推荐的做法是新建一个共享文件夹用webdav自定义端口+新建用户给他人访问

[TMjack]

不论什么系统，高明的黑客总是能找到可乘之机。若将设备直接暴露在公网上，确实是太危险了。
建议大家可以按照上面的操作步骤完善你的网络安全策略。