Torna indietro   Hardware Upgrade Forum > Networking e sicurezza > Antivirus e Sicurezza > Aiuto sono infetto! Cosa faccio?

ASUS ROG Swift OLED PG49WCD: quando QD-OLED e ultrawide si fondono
ASUS ROG Swift OLED PG49WCD: quando QD-OLED e ultrawide si fondono
Da ASUS un monitor particolare ma molto completo: principalmente indirizzato al videogiocatore, può essere sfruttato con efficacia anche per attività creative e di produzione multimediale
Dreame L10s Pro Ultra Heat: la pulizia di casa tutta sostanza
Dreame L10s Pro Ultra Heat: la pulizia di casa tutta sostanza
Il nuovo robot aspirapolvere domestico di Dreame abbina funzionalità complete a un moccio flottante che raggiunge al meglio gli angoli delle pareti. Un prodotto tutto in uno semplice da utilizzare ma molto efficace, in grado di rispondere al meglio alle necessità di pulizia della casa
HONOR Magic6 Pro: come funziona Magic Portal, il modo ''intelligente'' di condividere
HONOR Magic6 Pro: come funziona Magic Portal, il modo ''intelligente'' di condividere
HONOR ha introdotto con Magic6 Pro la funzione Magic Portal che consente, tramite intelligenza artificiale, di suggerire scorciatoie agli utenti in modo da permettere di passare e accedere facilmente ai servizi tra app e dispositivi con un semplice tocco. Vi spieghiamo qui come funziona
Tutti gli articoli Tutte le news

Vai al Forum
Rispondi
 
Strumenti
Old 23-12-2021, 22:10   #1
mtguido
Senior Member
 
L'Avatar di mtguido
 
Iscritto dal: Oct 2005
Messaggi: 1361
Qnap Nas ts-212 infetto da ransomware .encrypted

Buonasera,

oggi ho aperto da iphone l'app Qfile per recuperare un file sul mio nas Qnap ts-212. Con mia grande sorpresa mi sono ritrovato tutti i file con estensione .encrypted. In ogni cartella era presente un fle "README_FOR_DECRYPT.txtt". All'interno dello stesso indicazioni per collegarsi ad un sito internet per scoprire con decriptare i file. Chiaramente non ho aperto il sito.



Sono corso a staccare il nas dalla rete e ho subito staccato anche l'hard disk esterno collegato al nas dove effettuo i backup settimanali dei dati del nas.

Successivamente ho verificato lo stato dei due computer di casa e al momento sembrerebbero non essere stati attaccati (ho fatto una passata con malwarebytes).



Poi ho voluto controllare lo stato del disco esterno del nas, quello dei backup, per scoprire se i dati erano salvi. L'ho collegato ad un vecchio portatile (la live di ubunti non mi leggeva il disco, è ntfs) e sembrerebbe che miracolosamente i file siano integri. In realtà sulla cartella radice dell'hard disk esterno è presente il solito file "README_FOR_DECRYPT.txtt" ma tutte le cartelle e i file sembrano integre e leggibili.



Adesso vi chiedo quindi come recuperare il nas. Al momento lo tengo scollegato e non saprei come agire anche perchè collegandolo alla rete avrei paura di infettare gli altri dispositivi.

Inoltre anche l'hard disk esterno con il backup vorrei analizzarlo ma il portatile su cui ho fatto il test è troppo vecchio non riesco ad installarci neanche malwarebytes.



Mi spieghereste come procedere passo passo?



Vi ringrazio
__________________
MB:Gigabyte GA-880GA-UD3H Mod SoAM3 rev 2.2 Proc:Amd Phenom II X6 1090T Box AM3 3.2 GHZ L3 RAM:Kingston 1600Mhz HyperX Blue (1x8G) Video:ATI Radeon HD 4250 (integr) SSD:2,5" SSD Samsung 850 EVO (250GB) Os:Win10 Prof x64
mtguido è offline   Rispondi citando il messaggio o parte di esso
Old 24-12-2021, 15:06   #2
mtguido
Senior Member
 
L'Avatar di mtguido
 
Iscritto dal: Oct 2005
Messaggi: 1361
Dunque passando malwarebytes sul disco di backup ho notato che alcuni file che scorrevano erano .encrypt. Ho guardato meglio ed effettivamente un paio di cartelle sono state criptate. Come devo comportarmi?
Malwarebytes per adesso non ha trovato infezioni. Sta finendo la passata.
Basta che elimino i file encrypt? È possibile che la criptazione continui?

Riguardo al nas vorrei sapere cosa fare. Ho capito leggendo su bleepingcomputer che non c’è verso di salvarlo se non pagando. Quindi come procedo per rasare il disco?
__________________
MB:Gigabyte GA-880GA-UD3H Mod SoAM3 rev 2.2 Proc:Amd Phenom II X6 1090T Box AM3 3.2 GHZ L3 RAM:Kingston 1600Mhz HyperX Blue (1x8G) Video:ATI Radeon HD 4250 (integr) SSD:2,5" SSD Samsung 850 EVO (250GB) Os:Win10 Prof x64
mtguido è offline   Rispondi citando il messaggio o parte di esso
Old 24-12-2021, 16:47   #3
mtguido
Senior Member
 
L'Avatar di mtguido
 
Iscritto dal: Oct 2005
Messaggi: 1361
Quote:
Originariamente inviato da Phoenix2005 Guarda i messaggi
Sì...però così facendo ti perdi i dati cifrati: se per te questo non è un problema allora li puoi eliminare tranquillamente.



Sì, se il malware è attivo in memoria...ma essendo un ransomware del 2019 (eCh0raix/QNAPCrypt) - anche se molto probabilmente sotto forma di variante - malwarebytes dovrebbe essere in grado di identificarlo e terminarlo...però, non avendo davanti agli occhi la macchina, non posso confermarlo con certezza senza effettuare ulteriori verifiche. Nel mentre, visto che ci sei, una volta terminata la scansione con malwarebytes, utilizza i seguenti antimalware sulla macchina:

Kaspersky TDSSKiller
AdwCleaner
EEK

- Esegui i programmi con privilegi amministrativi.
- Ricordati di aggiornare EEK prima di procedere con la scansione AV
- Alla fine di ogni scansione, se dovessero risultare una o più infezioni salva il relativo log, poi elimina i file infetti e, se richiesto, riavvia.



Lo estrai dall’unità e lo colleghi ad un PC via USB, fai tabula rasa delle partizioni e riformatti...ma tutto questo solo dopo aver avuto la certezza che il sistema sia effettivamente 100% virus free. La procedura, nel dettaglio, è questa:

1) Scarica ed installa sul PC Shadow Defender.
2) Dopo esserti assicurato che non vi siano unità di archiviazione esterne (USB/SATA) collegate al PC, utilizza tale programma per virtualizzare la partizione di W10 + le eventuali partizioni secondarie.
3) A questo punto puoi attaccare in sicurezza l’hard disk del Qnap via USB al PC per poi procedere con la normale formattazione (NTFS, formattazione veloce).
4) Una volta formattato l’Hard Disk del Qnap scollegalo dalla porta USB, disabilita la virtualizzazione dell’OS, spegni o riavvia il PC ed infine procedi con il ripristino delle funzionalità del NAS.
Ti ringrazio per la risposta esaustiva.

La procedura che mi hai consigliato per poter collegare il
Nas non è il caso che la applico anche per quei programmi con cui mi hai consigliato di passare l’hard disk backup?
Io ora malwarebytes ce lo sto facendo girare su un disco live hiren di Windows ma avrei timore a collegarlo al mio pc fisso Windows.
__________________
MB:Gigabyte GA-880GA-UD3H Mod SoAM3 rev 2.2 Proc:Amd Phenom II X6 1090T Box AM3 3.2 GHZ L3 RAM:Kingston 1600Mhz HyperX Blue (1x8G) Video:ATI Radeon HD 4250 (integr) SSD:2,5" SSD Samsung 850 EVO (250GB) Os:Win10 Prof x64
mtguido è offline   Rispondi citando il messaggio o parte di esso
Old 24-12-2021, 17:39   #4
mtguido
Senior Member
 
L'Avatar di mtguido
 
Iscritto dal: Oct 2005
Messaggi: 1361
Ok domani farò queste operazioni.
Intanto ho eliminato tutte le cartelle con file .encrypt tranne purtroppo 2 che non riesco ad eliminare. Mi dice “the directory is corrupted and unreadable”.
Che faccio?
Volevo fare una seconda passata di malwarebytes sempre su live cd Hiren dopo aver eliminato tutte le encrypted ma non si cancellano queste due.
__________________
MB:Gigabyte GA-880GA-UD3H Mod SoAM3 rev 2.2 Proc:Amd Phenom II X6 1090T Box AM3 3.2 GHZ L3 RAM:Kingston 1600Mhz HyperX Blue (1x8G) Video:ATI Radeon HD 4250 (integr) SSD:2,5" SSD Samsung 850 EVO (250GB) Os:Win10 Prof x64
mtguido è offline   Rispondi citando il messaggio o parte di esso
Old 24-12-2021, 19:52   #5
mtguido
Senior Member
 
L'Avatar di mtguido
 
Iscritto dal: Oct 2005
Messaggi: 1361
Ma questa cosa dal prompt posso farla dal live di Hiren boot?
__________________
MB:Gigabyte GA-880GA-UD3H Mod SoAM3 rev 2.2 Proc:Amd Phenom II X6 1090T Box AM3 3.2 GHZ L3 RAM:Kingston 1600Mhz HyperX Blue (1x8G) Video:ATI Radeon HD 4250 (integr) SSD:2,5" SSD Samsung 850 EVO (250GB) Os:Win10 Prof x64
mtguido è offline   Rispondi citando il messaggio o parte di esso
Old 24-12-2021, 22:22   #6
mtguido
Senior Member
 
L'Avatar di mtguido
 
Iscritto dal: Oct 2005
Messaggi: 1361
Comunque Hiren è un live di win 10
__________________
MB:Gigabyte GA-880GA-UD3H Mod SoAM3 rev 2.2 Proc:Amd Phenom II X6 1090T Box AM3 3.2 GHZ L3 RAM:Kingston 1600Mhz HyperX Blue (1x8G) Video:ATI Radeon HD 4250 (integr) SSD:2,5" SSD Samsung 850 EVO (250GB) Os:Win10 Prof x64
mtguido è offline   Rispondi citando il messaggio o parte di esso
Old 25-12-2021, 15:11   #7
mtguido
Senior Member
 
L'Avatar di mtguido
 
Iscritto dal: Oct 2005
Messaggi: 1361
Grazie al tuo consiglio del chkdsk sono riuscito a eliminare quelle cartelle che avevano ancora file .encrypt. Ora il disco è senza file criptati e ci ho passato malwarebytes e kaspersky. Adesso procederò con gli altri programmi che mi hai consigliato tramite shadowdefender. Tra l’altro mi spiegheresti meglio le operazioni da fare con shadowdefender. Mi hai scritto di virtualizzare la partizione di Windows ma non ho ben chiaro di come si faccia.

Prima però volevo dare una controllata anche al nas prima di rasarlo. Se lo collego su Windows non potrei accedere alle cartelle perché è ext4. Se avvio una live ubuntu/hiren staccando tutti i dischi dal fisso e mi ci collego via samba o via http rischio qualcosa?
__________________
MB:Gigabyte GA-880GA-UD3H Mod SoAM3 rev 2.2 Proc:Amd Phenom II X6 1090T Box AM3 3.2 GHZ L3 RAM:Kingston 1600Mhz HyperX Blue (1x8G) Video:ATI Radeon HD 4250 (integr) SSD:2,5" SSD Samsung 850 EVO (250GB) Os:Win10 Prof x64

Ultima modifica di mtguido : 25-12-2021 alle 15:14.
mtguido è offline   Rispondi citando il messaggio o parte di esso
Old 26-12-2021, 02:25   #8
mtguido
Senior Member
 
L'Avatar di mtguido
 
Iscritto dal: Oct 2005
Messaggi: 1361
Aggiornamenti sulle operazioni fatte.



A) Disco di backup esterno

- Eliminato quei pochi file che erano criptati (ho forse capito perchè erano criptati solo alcuni file, sono andato nella backup station del nas e ho notato che era partito un backup giorni fa, fortunatamente fallito dopo poco. Quindi quei file criptati che c'erano forse erano stati copiati dal backup e non dal ramsonware. Ad ogni modo poco male perchè erano file poco importanti). Alcuni file non si rimuovevano, ci sono riuscito solo dopo un chkdsk.

- Tramite hiren boot live (windows 10 live) ho passato l'hard disk esterno con malwarebytes



B) Disco del Nas

- Ho rimosso il disco dal nas

- Avviato sul mio pc fisso Shadowdefender e avviato la shadowmode

- Collegato disco del nas via usb

- Formattato con la gestione dischi di windows (formattazione rapida)

- Post formattazione l'ho passato con Malwarebytes, Tdsskiller, Roguekiller, ekk, adwcleaner (con adwcleaner e tdsskiller non sono riuscito ad effettuare una scansione personalizzata solo sul disco, non ho trovato opzioni per farlo, ho avviato la scansione generica, spero mi abbia scansionato anche il disco del nas oltre al fisso). Ad ogni modo non hanno trovato minacce.

- Reinserito disco nel nas e inizializzato con nuovo firmware.



A questo punto posso dire di aver eliminato il ramsonware definitivamente?

C'è altro che dovrei fare per stare tranquillo?



A giorni comprerò un nuovo nas (synology ds220+). Questo qnap ts-212 lo utilizzerò per farci i backup del synology, poi dovrò studiarmi come fare. Intanto vi chiederei di indicarmi quali accortezze impostare nel nas per evitare di ricadere in una situazione simile.





Grazie
__________________
MB:Gigabyte GA-880GA-UD3H Mod SoAM3 rev 2.2 Proc:Amd Phenom II X6 1090T Box AM3 3.2 GHZ L3 RAM:Kingston 1600Mhz HyperX Blue (1x8G) Video:ATI Radeon HD 4250 (integr) SSD:2,5" SSD Samsung 850 EVO (250GB) Os:Win10 Prof x64

Ultima modifica di mtguido : 26-12-2021 alle 03:07.
mtguido è offline   Rispondi citando il messaggio o parte di esso
Old 26-12-2021, 12:41   #9
mtguido
Senior Member
 
L'Avatar di mtguido
 
Iscritto dal: Oct 2005
Messaggi: 1361
Quote:
Originariamente inviato da Phoenix2005 Guarda i messaggi
Che tu sappia la versione del vecchio firmware era tra quelle vulnerabili ad attacchi da remoto? Se la risposta è “sì” allora con l’aggiornamento del firmware hai chiuso la porta di ingresso dalla quale probabilmente è passato il ransomware. Scrivo “probabilmente” perché nel tuo caso i potenziali punti di ingresso (elencati qui sotto in ordine di fattibilità + relativa propagazione) sono tre:

1. Qnap > Windows
2. Smartphone > Qnap > Windows
3. Windows > Qnap
Purtroppo prima di rasare ho dimenticato di verificare se avessi l’ultima versione del firmware. Comunque all’80% lo avevo aggiornato non troppo tempo fa. Poi se non sbaglio gli avvisi che ha fatto la Qnap su questo ramsonware evidenziano la possibilità di essere attaccati anche con l’ultimo firmware.

Quote:
Originariamente inviato da Phoenix2005 Guarda i messaggi
Se riesci ad eseguire i backup del nuovo NAS su partizione NTFS e contemporaneamente a gestire il vecchio NAS come semplice unità esterna NTFS potresti utilizzare Cobian Backup in funzione “ponte” fra i due apparati:
https://www.hwupgrade.it/forum/showt...php?p=47385277

Backup del nuovo NAS → file archiviati su cartella protetta di una partizione secondaria di Windows → trasferimento del backup sull’hard disk del Qnap tramite Cobian via utenza dedicata in funzione anti-ransomare (aka backup operator), il tutto impostato per mantenere sul vecchio NAS uno storico di almeno tre backup: il numero finale preimpostato gestibile (che più alto sarà meglio sarà) risulterà vincolato dalla dimensione del backup in rapporto allo spazio disponibile sul Qnap.
In realtà adesso ho ripristinato il nas col sistema operativo Qnap e file System quindi ext4. Quello che pensavo era avere il nuovo Synology ds220+ con singolo hard disk da 4tb (wd red pro), fare tramite qualche funzionalità del synology, che ad oggi non conosco, il backup su qnap (hdd 4tb) e su unità esterna ntfs (quella che mi ha salvato stavolta dove ho un hdd da 4tb). Visto che ho circa 2,5 tb si dati attualmente, su nas e hdd esterno posso fare un unico backup.



Quote:
Originariamente inviato da Phoenix2005 Guarda i messaggi
Quali sono le migliori prassi per migliorare la sicurezza del NAS?
QNAP x pfSense
Installazione di pfSense su un QNAP NAS



1) Tutti i dispositivi hardware che sono entrati in contatto con il Qnap (router/IoT/tablet/smartphone) vanno considerati potenzialmente infetti/compromessi e quindi andrebbero resettati allo stato di fabbrica.
2) Cambia le password su tutti i dispositivi hardware che sono entrati in contatto con il Qnap (sempre che tali apparati lo consentano).
3) Le password non vanno mai riusate e devono essere uniche per ogni apparato hardware e per ogni servizio online/offline.
4) Scegli con attenzione le nuove password (in particolar modo quelle degli apparati esposti in maniera permanente su internet, NAS/IoT), le quali devono essere sufficientemente “robuste” da resistere al bruteforcing e possedere, inoltre, caratteristiche di bassa predicibilità, in modo da contrastare efficacemente le procedure di violazione automatizzate via rainbow table; ergo la password non deve contenere parole di senso compiuto ma essere totalmente casuale e deve avere una lunghezza minima 16 caratteri: lettere grandi, piccole, numeri e almeno quattro simboli. A seguire un esempio di password di 18 caratteri alfanumerici+simboli: 3gXsD=6$#HcY]0>9o~ con relativa analisi della robustezza della medesima:







Tieni presente che alcune tipologie di hardware potrebbero presentare delle limitazioni sulla lunghezza delle password utilizzabili o potrebbe non essere possibile inserire determinati simboli all’interno della nuova password se tali simboli – in fase di progettazione hardware/software - fossero stati marcati come riservati e quindi non utilizzabili: nel dubbio o in caso di problemi durante la creazione delle nuove password fai riferimento al manuale d’uso dell’apparato stesso o alle FAQ del sito web di riferimento (anche nel qual caso si dovesse trattare di un servizio online, quindi non hardware-dipendente).
In casa ho un router fritzbox 7590. Essendo router della rete potrebbe essere entrato in contatto con il ramsonware ma resettarlo mi sembra troppo.
L’iPhone con cui ho scoperto la cosa tramite app Qfile non mi da problemi e credo sia immune a questa roba, non vorrei resettarlo.
Gli altri pc di casa non hanno sintomi.
Sul Nas qnap appena ripristinato ho impostato una nuova password molto resistente. L’ho testata sul sito di kaspersky e mi dava livello massimo di sicurezza.

Quando mi arriverà il synology (avrà singolo hdd 4tb ed pro) vorrei utilizzare qualche funzione dello stesso per fare il backup sul nas qnap (hdd 4tb). Allo stesso modo fare il backup anche sul disco esterno che mi ha salvato questa volta (altro hdd 4tb). La mole dei miei dati attualmente pesa 2,5 tb quindi su ogni disco potrà entrarci solo una copia.


Quote:
Originariamente inviato da Phoenix2005 Guarda i messaggi
Probabilmente sì ma se preferisci ottenere un responso meno “divinatorio” e più “tecnico” (almeno per quel che riguarda Windows) dovresti eseguire una serie di operazioni in modo da consentire una valutazione oggettiva dell’attuale stato di "messa in sicurezza" della macchina:

1) Scarica HiJackThis Fork v3, esegui una scansione dell’OS e salva il relativo log.
2) Scarica la versione portatile (portable version) in formato ZIP di Wise Program Uninstaller: esegui il programma e tramite il menù contestuale (mouse tasto dx)...



...crea un log dei programmi installati sul PC.

Posta entrambi i file di log generati dai due programmi (in formato testo) qui sul forum.
Ok farò i test con questi due programmi ma devo farli girare sul Windows del mio fisso o su nas e hard disk esterno?
__________________
MB:Gigabyte GA-880GA-UD3H Mod SoAM3 rev 2.2 Proc:Amd Phenom II X6 1090T Box AM3 3.2 GHZ L3 RAM:Kingston 1600Mhz HyperX Blue (1x8G) Video:ATI Radeon HD 4250 (integr) SSD:2,5" SSD Samsung 850 EVO (250GB) Os:Win10 Prof x64

Ultima modifica di mtguido : 26-12-2021 alle 14:13.
mtguido è offline   Rispondi citando il messaggio o parte di esso
Old 26-12-2021, 14:41   #10
mtguido
Senior Member
 
L'Avatar di mtguido
 
Iscritto dal: Oct 2005
Messaggi: 1361
Quote:
Originariamente inviato da Phoenix2005 Guarda i messaggi
Se è così la maniera più semplice ed indolore per risolvere la situazione è quella di utilizzare il nuovo NAS collegando il Qnap alla rete ma senza esporlo direttamente su internet.
Infatti quello che vorrei fare adesso è proprio questo, mantenere questo qnap collegato alla rete per dare la possibilità al nuovo nas synology di farci i backup settimanali ma non esporlo in nessun modo alla rete esterna. Tanto non avrò motivo di collegarmici da remoto avendo in funzione il nuovo nas. Devo studiarmi come fare però...

Quote:
Originariamente inviato da Phoenix2005 Guarda i messaggi
A questo punto valuterei la possibilità di acquistare un ulteriore paio di Hard Disk di backup da 4 TB in modo da poterli alternare ciclicamente ogni mese e, così facendo, avere almeno due backup offline “storici” di riserva, quindi 100% integri.
Oddio dai, avrò un nas nuovo, un nas isolato dalla rete dove faccio i backup e un terzo disco usb dove farò un ulteriore backup. Potrei valutare di trovare il modo di scollegare il disco usb dalla corrente negli orari in cui non c'è da fare il backup come ulteriore sicurezza.
Un backup staccato da tutto sarebbe certamente la soluzione migliore, il problema è che mi conosco e smetterei di farlo dopo qualche tempo. Non ho troppo tempo per farlo. Devo impostare un sistema automatizzato che faccia tutto.

Quote:
Originariamente inviato da Phoenix2005 Guarda i messaggi

La vecchia password? Lunghezza totale e quantità di caratteri minuscoli/maiuscoli/numeri/simboli? Oppure si trattava di una parola di senso compiuto? Te lo chiedo perché almeno così si può valutare uno dei potenziali punti di ingresso: perché se la vecchia password era intrinsecamente “debole” possono essere entrati non grazie ad una vulnerabilità del firmware ma tramite bruteforce...
La vecchia password non era una passeggiata ma nemmno la password della nasa. Diciamo che erano 3 parole di senso non troppo compiuto, scollegate tra loro, con la maiuscola iniziale ciascuna seguite da 4 numeri e un simbolo.
Inoltre avevo l'autenticazione a due fattori attiva sul nas, almeno per l'accesso principale. Poi non so se i due fattori venivano chiesti per l'accesso da qualsiasi protocollo.

Quote:
Originariamente inviato da Phoenix2005 Guarda i messaggi
L’analisi la dovresti effettuare esclusivamente sul PC Windows collegato al NAS, quello dove hai trovato i file crittografati: se poi ho capito male io e non hai trovato file crittografati sulla partizione dell’OS o in quelle secondarie e, al contempo, gli antimalware non ti hanno segnalato nulla, allora puoi fare a meno di effettuare le nuove scansioni, specie se non riscontri nessuna anomalia.
No dunque i file criptati erano solo sul nas (praticamente tutto il nas era criptato) e un paio di cartelle sul disco di backup esterno. Sul mio pc fisso e su altri dispositivi di casa non ho trovato alcuna traccia del ramsonware o altre problematiche allarmanti.
A questo punto direi che sono apposto.

Posso dedicarmi a settare il qnap per prepararlo all'arrivo del nuovo synology.
__________________
MB:Gigabyte GA-880GA-UD3H Mod SoAM3 rev 2.2 Proc:Amd Phenom II X6 1090T Box AM3 3.2 GHZ L3 RAM:Kingston 1600Mhz HyperX Blue (1x8G) Video:ATI Radeon HD 4250 (integr) SSD:2,5" SSD Samsung 850 EVO (250GB) Os:Win10 Prof x64
mtguido è offline   Rispondi citando il messaggio o parte di esso
Old 26-12-2021, 16:12   #11
mtguido
Senior Member
 
L'Avatar di mtguido
 
Iscritto dal: Oct 2005
Messaggi: 1361
Quote:
Originariamente inviato da Phoenix2005 Guarda i messaggi
Sì, direi che la situazione – almeno rispetto a prima - è abbastanza tranquilla e penso che l’unico punto potenzialmente vulnerabile ancora presente si risolverà con l’arrivo del nuovo NAS...nel mentre, buon fine anno.

PS
...speriamo solo che il 2022 non segua la maledizione dei numeri pari delle build di Windows (sVista, 8, 10), altrimenti sarà una catastrofe!
Ho seguito le indicazioni di questo link che mi avevi messo:
https://www.qnap.com/it-it/how-to/fa...urezza-del-nas

Ho fatto tutto ciò che c'è scritto. Disattivato totalmente qnap cloud tanto non dovrò più connettermi da remoto su questo nas. Eliminato dal router l'accesso a qualsiasi porta del nas.

Primo allarme, ho fatto girare Malware remover della QNAP e mi ha trovato Malware MR1702, MR 1902. Possibile che la semplice formattazione del disco non avesse cancellato il malware? E ora? Posso stare tranquillo o devo fare altre analisi sul disco?



Ho poi un paio di dubbi che non riesco a capire. Tra le indicazioni c'è scritto

Quote:
Modifica del numero della porta di sistema
Se il NAS è collegato direttamente a Internet (ad esempio tramite PPPoE, indirizzo IP statico esterno o router in modalità DMZ), modificare il numero della porta di sistema in QTS.

Accedere a QTS come amministratore.
Andare su Pannello di controllo > Sistema > Impostazioni generali > Amministrazione di sistema.
Specificare il nuovo numero della porta di sistema.
Avvertenza: Non usare 22, 443, 80, 8080 o 8081.
Fare clic su Applica.
Se il NAS è dietro un router, ma è collegato a Internet tramite l’inoltro di porta, specificare un nuovo numero di porta sul router. Non usare 22, 443, 80, 8080 o 8081.
Innanzitutto che numero di porta potrei metterci. Non sono esperto e non so se devo scegliere tra alcuni specifici numeri di porta o se posso inverntarmela totalmente. Inoltre una volta modificata la porta 8080 base devo impostare qualcosa sul router anche per accederti dalla mia rete di casa?

Sono andato su Pannello di controllo - Sistema - Sicurezza - Protezione accesso alla rete


Qui non mi è chiaro cosa impostare. La prima voce "Abilita connessione per l'accesso alla rete" mi sembra che sia una autorizzazione ad accedere alla rete.
Ho provato ad abilitarla e poi a flaggare tutte le voci sotto così come in foto. Se però poi provo a connettermi via samba mi blocca e mi mette subito l'ip del pc in ban nonostante la password sia corretta chiaramente e l'opzione spuntata specifichi il ban solo per 5 accessi negati. Il mio è un accesso corretto ma mi mette comunque in ban. Devo direttamente tenere disabilitata la voce "Abilita connessione per l'accesso alla rete"? Ma con questa voce disabilitata effettua comunque dei filtri su quelle reti? Le blocca tutte a prescindere?
Senza questa voce non riuscivo a connettermi via samba con il fisso alle cartelle del Nas.

Ho provato poi ad attivare ed aggiornare l'antivirus del nas ma fallisce sempre e non si aggiorna:
__________________
MB:Gigabyte GA-880GA-UD3H Mod SoAM3 rev 2.2 Proc:Amd Phenom II X6 1090T Box AM3 3.2 GHZ L3 RAM:Kingston 1600Mhz HyperX Blue (1x8G) Video:ATI Radeon HD 4250 (integr) SSD:2,5" SSD Samsung 850 EVO (250GB) Os:Win10 Prof x64

Ultima modifica di mtguido : 26-12-2021 alle 16:59.
mtguido è offline   Rispondi citando il messaggio o parte di esso
Old 26-12-2021, 18:16   #12
mtguido
Senior Member
 
L'Avatar di mtguido
 
Iscritto dal: Oct 2005
Messaggi: 1361
Quote:
Originariamente inviato da Phoenix2005 Guarda i messaggi
Come non detto! la maledizione delle build pari di Windows colpisce ancora!



Se il malware è localizzato sul disco dei dati la formattazione risolve il problema alla radice (a meno che sull'unità non sia presente un improbabile Hard Drive Rootkit) ma in questo specifico caso devi tenere conto anche dell’ambiente Linux personalizzato presente all’interno del Qnap il quale non è accessibile direttamente da Windows (e infatti per eseguire una scansione AV sull’unità hai dovuto installare degli strumenti proprietari distribuiti dal produttore dell’hardware): è la parte Linux ad essere bacata, buggata & infetta, non Windows.



Di norma sui NAS puoi settare la porta che preferisci ma per il momento lascia tutto così com’è: mettersi a “smanettare” a casaccio con porte e protocolli per l'accesso remoto/locale – oltre ad incasinare la situazione ancora di più - in questo frangente è decisamente una perdita di tempo visto che tanto così com'è il NAS non lo puoi collegare 24h/24h ad internet, né tanto meno sarà necessario farlo, tenendo a mente che a breve lo sostituirai. Mi concentrerei di più sui malware segnalati perché il vero problema – a prescindere dalla porta utilizzata - si porrà non su internet ma sulla intranet (la rete interna, per intenderci): nel momento in cui andrai a collegare il vecchio NAS con il nuovo NAS per effettuare i backup, il malware potrebbe migrare da un sistema all’altro, e quindi la situazione va risolta ben prima che questo possa accadere, tramite l’AV del Qnap il quale, avendo segnalato i due malware, dovrebbe essere in grado di rimuoverli (suppongo)...alternative non ve ne sono...per certo ti posso dire che è una problematica che non puoi gestire da Windows...quindi la domanda è: oltre a segnalarti i malware l’antivirus del Qnap “Malware remover” li ha eliminati? E se la risposta è “sì”, cosa succede se esegui una nuova scansione? Il sistema risulta pulito?



Potrebbe essere colpa del malware (magari è ancora attivo sul sistema) oppure più banalmente il device non riesce a connettersi ad internet per l’aggiornamento delle firme virali. Se la mancata connettività non si risolve in serata, prova ad utilizzare l’opzione di aggiornamento manuale (come suggerito dal pop-up di errore).
Ok la storia della porta volevo farla solo perché era suggerita dal tuo link.

Comunque il malware remover, almeno da come leggo nel log che ti ho postato, li ha individuati e RIMOSSI i malware. Se faccio una nuova scansione non trova nulla.

Certo mi sembra assurdo perché non ho solo fatto la formattazione con windows, poi ho inizializzato il disco col nas che l’ha formattato a sua volta..pazzesco!
Spero che adesso sia definitivamente rimosso.

L’antivirus ho googlato e sembra sia un problema comune, ci sono delle spiegazioni per risolvere ma dicono di agire tramite ssh e non mi sono avventurato…

P.s. Lèggendo online di questo malware mi sembra di capire che la vulnerabilità sia nell’app photo station di qnap. Proverò a disinstallarla.
__________________
MB:Gigabyte GA-880GA-UD3H Mod SoAM3 rev 2.2 Proc:Amd Phenom II X6 1090T Box AM3 3.2 GHZ L3 RAM:Kingston 1600Mhz HyperX Blue (1x8G) Video:ATI Radeon HD 4250 (integr) SSD:2,5" SSD Samsung 850 EVO (250GB) Os:Win10 Prof x64

Ultima modifica di mtguido : 26-12-2021 alle 18:28.
mtguido è offline   Rispondi citando il messaggio o parte di esso
Old 29-12-2021, 10:16   #13
mtguido
Senior Member
 
L'Avatar di mtguido
 
Iscritto dal: Oct 2005
Messaggi: 1361
Ho ordinato il nuovo nas: Synology DS920+
__________________
MB:Gigabyte GA-880GA-UD3H Mod SoAM3 rev 2.2 Proc:Amd Phenom II X6 1090T Box AM3 3.2 GHZ L3 RAM:Kingston 1600Mhz HyperX Blue (1x8G) Video:ATI Radeon HD 4250 (integr) SSD:2,5" SSD Samsung 850 EVO (250GB) Os:Win10 Prof x64
mtguido è offline   Rispondi citando il messaggio o parte di esso
Old 07-01-2022, 17:10   #14
mtguido
Senior Member
 
L'Avatar di mtguido
 
Iscritto dal: Oct 2005
Messaggi: 1361
Quote:
Originariamente inviato da Phoenix2005 Guarda i messaggi
Take Immediate Actions to Secure QNAP NAS (security news, 07-01-2022):
https://www.qnap.com/en/security-new...ecure-qnap-nas
Grazie per la guida. Ho cercato "security counselor" sul mio qnap ts-212 ma non lo trovo, neanche nell'app center per provare a installarlo. Come posso fare?
__________________
MB:Gigabyte GA-880GA-UD3H Mod SoAM3 rev 2.2 Proc:Amd Phenom II X6 1090T Box AM3 3.2 GHZ L3 RAM:Kingston 1600Mhz HyperX Blue (1x8G) Video:ATI Radeon HD 4250 (integr) SSD:2,5" SSD Samsung 850 EVO (250GB) Os:Win10 Prof x64
mtguido è offline   Rispondi citando il messaggio o parte di esso
Old 07-01-2022, 17:42   #15
mtguido
Senior Member
 
L'Avatar di mtguido
 
Iscritto dal: Oct 2005
Messaggi: 1361
Quote:
Originariamente inviato da Phoenix2005 Guarda i messaggi
App Center
https://www.qnap.com/it-it/app_center/

Link diretto per il download del QNAP Security Counselor 2.4.3.5
https://www.qnap.com/it-it/app_cente...seq=147&os=qts
Sull'app center non me la trova.
Ho provato l'installazione manuale scaricando dal tuo link ma mi dice

Quote:
Security Counselor 2.4.3.5 installation failed. Please upgrade the system to higher v4.5.1.1401 .
Il mio firmware è 4.3.3.1799 e non posso andare oltre
__________________
MB:Gigabyte GA-880GA-UD3H Mod SoAM3 rev 2.2 Proc:Amd Phenom II X6 1090T Box AM3 3.2 GHZ L3 RAM:Kingston 1600Mhz HyperX Blue (1x8G) Video:ATI Radeon HD 4250 (integr) SSD:2,5" SSD Samsung 850 EVO (250GB) Os:Win10 Prof x64
mtguido è offline   Rispondi citando il messaggio o parte di esso
 Rispondi


ASUS ROG Swift OLED PG49WCD: quando QD-OLED e ultrawide si fondono ASUS ROG Swift OLED PG49WCD: quando QD-OLED e ul...
Dreame L10s Pro Ultra Heat: la pulizia di casa tutta sostanza Dreame L10s Pro Ultra Heat: la pulizia di casa t...
HONOR Magic6 Pro: come funziona Magic Portal, il modo ''intelligente'' di condividere HONOR Magic6 Pro: come funziona Magic Portal, il...
L'innovazione richiede fiducia: Workday si propone come guida nell'era dell'IA L'innovazione richiede fiducia: Workday si propo...
Recensione HONOR Pad 9: ampio display e audio top per il tablet per l'intrattenimento Recensione HONOR Pad 9: ampio display e audio to...
Lamborghini, nuovo logo e font, ora abbr...
Xbox Series X si veste di bianco, ma &eg...
La Porsche Boxster elettrica beccata in ...
L'iPad da 10,9" (Wi-Fi, 64GB) è sceso a ...
Dell, calo del mercato PC: licenziati 13...
Alfa Romeo Milano, scopriamo profilo e l...
Hisense vende un TV FHD 32 pollici con Q...
Cisco Webex anche in auto: ora è ...
Phil Schiller, il boss dell'App Store di...
Lola in Formula E insieme a Yamaha, due ...
Motorola MA1 è l'accessorio ideale per u...
Tineco e aspirapolveri senza fili, la nu...
Blocco note, c'è un modo per ripr...
Relic Entertainment dice addio a SEGA: l...
SPATIUM M580 FROZR, il nuovo SSD PCIe Ge...
Chromium
GPU-Z
OCCT
LibreOffice Portable
Opera One Portable
Opera One 106
CCleaner Portable
CCleaner Standard
Cpu-Z
Driver NVIDIA GeForce 546.65 WHQL
SmartFTP
Trillian
Google Chrome Portable
Google Chrome 120
VirtualBox
Tutti gli articoli Tutte le news Tutti i download

Strumenti

Regole
Non Puoi aprire nuove discussioni
Non Puoi rispondere ai messaggi
Non Puoi allegare file
Non Puoi modificare i tuoi messaggi

Il codice vB è On
Le Faccine sono On
Il codice [IMG] è On
Il codice HTML è Off
Vai al Forum


Tutti gli orari sono GMT +1. Ora sono le: 13:03.


Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Served by www3v