最近工作上遇到的案例,分享出來給大家看看~
-------------------------------------------------------------------------
群暉的DSM系統已發佈至5.0版本,因新版剛發佈,為避免有不穩定的狀況發現,建議先採用DSM 4.3版本即可。
群暉科技 Synology® 發布 DiskStation Manager
安全性更新,兩項已知的系統風險 (CVE-2013-6955 與 CVE-2013-6987) 可能造成 DSM 系統執行權限受到入侵。為防止惡意程式攻擊,DSM 版本更新已隨之發布(2/14)。
依網路上症狀觀察,大多受害者為有將5000 埠開放到外網。駭客掃描5000埠,利用漏洞,植入比特幣的挖礦程式。
請協助檢示NAS是否已遭受攻擊,下文將提供遭受攻擊的可能徵兆與處理方式,以及未遭受攻擊的預防方式。
(一)
已遭受攻擊的使用者
Ø 遭受攻擊的 DiskStation 與 RackStation 可能出現以下徵兆:
l 資源監控中心偵測到異常滿載的 CPU 使用率、程序佔據資源:
DSM功能表 ->資源監控
觀察「程序」,程序名稱為
httpd-log.pid、dhcp.pid、minerd、synodns、PWNED、PWNEDb、PWNEDg、PWNEDm,或其他名為 PWNED 的處理程序,其CPU佔據資源
觀察「效能-CPU」,使用率約十分鐘左右,查看使用率是否八成皆在90~100%
l 不屬於Synology 的資料夾:
名為 startup 的共用資料夾被建立於系統中;或在
/root/PWNED 路徑下,出現不屬於 Synology 的資料夾
l Web Station 自動導向非指定頁面:
Index.php 被導向至非指定頁面
l 不屬於 Synology 的 CGI 程式檔:
/usr/syno/synoman 路徑下出現無意義的檔案名稱
l 不屬於 Synology 的指令程式:
/usr/syno/etc/rc.d 路徑下出現如 S99p.sh 等,不屬於 Synology 的指令程式
l NAS的DSM無法登入,會出現「系統正在準備就緒。請稍後再登入」
Ø 處理流程:
1. 請確認NAS原有的DSM版本,確認為DSM 4.0、DSM 4.1或DSM 4.3
2. 請將NAS關機(按壓前面板的電源鈕,直到聽到一聲嗶聲後再放開)
3. 所有硬碟拔下,請記住硬碟順序
4. 利用另一顆備用硬碟(非原有的硬碟),安裝至第一個插槽
5. 下載原有DSM版本之最新版
l DSM 4.3使用者,請依不同型號下載對應的DSM 4.3-3827
l DSM 4.1或DSM 4.2使用者,請依不同型號下載對應的DSM 4.2-3246
l DSM 4.0使用者,請依不同型號下載對應的DSM 4.0-2262
6. 利用Synology Assistant軟體,將DSM安裝於此備用硬碟
7. 安裝完DSM後,即能正常登入。不需建立任何儲存空間,只要安裝DSM即可
(目的在於讓NAS可正常開機進入系統,將不影響原有硬碟的RAID及設定檔)
8. 可正常登入後,請將NAS關機
9. 拔除此硬碟
10. 將硬碟依原有的順序安裝回NAS
11. 使用Synology Assistant軟體搜尋NAS,可發現其狀態欄位為「可移轉」
12. 請再次安裝DSM
13. 重開機登入系統,請確認資料皆正常
(二)
未遭遇上述徵兆的使用者
Ø 建議可從 DSM > 控制台 > DSM 更新頁面,更新至下述版本,保障
DiskStation 免於惡意攻擊。
1. 系統設定備份(進行DSM升級前,建議請先自行備份設定檔後,再進行升級)
2. 至網站下載對應型號的pat檔
3. 系統更新
4. 上傳已下載的pat檔,在更新的過程中,NAS會重開機
此頁面的系統更新,並非為最新版,需手動再更新DSM
Ø 預防方式:
1.
停用admin以及其他內建的帳號
2.
停用內建的port埠,改成其他埠號
3. 如NAS是使用虛擬IP,並經由NAT轉換實體IP對外者,可在Firewall或NAT的設備上修改成對外採用其它埠映射到NAS的5000埠
3.
變更預設的HTTP或HTTPS埠號、啟動HTTPS安全連線
4.
將NAS放在分享器或防火牆後,如果是NAS直接PPPoE或者是放在DMZ裡,請務必設定防火牆
5.
啟用自動封鎖功能
6.
在分享器上設定防火牆規則,防止Port scanner
7.
在分享器上設定自動封鎖規則
8.
如果NAS不對外連線只對LAN開放,善用VPN,尤其是OPEN VPN
上述預防方式僅能增加NAS的安全性,但無法防止漏洞。
