Recomendaciones para evitar Malware en nuestros NAS QNAP
#1
Buenas,

A día de hoy , existe un malware que ataca por el puerto 8080 del NAS y hace que no podamos ver nuestras carpetas a través del FileStation.

En primer lugar, me gustaría dejaros varios documentos de QNAP para que lo tengáis en cuenta a la hora de blindar nuestra información:

¿Cómo mejorar la seguridad de las cuentas usando la verificación de 2 pasos?
https://www.qnap.com/es-es/how-to/tutori...de-2-pasos 

Uso de certificados SSL para aumentar la seguridad de conexiones a su QNAP NAS
https://www.qnap.com/es-es/how-to/tutori...u-qnap-nas 

¿Cómo hacer que su Turbo NAS sea más seguro?
https://www.qnap.com/es-es/how-to/faq/ar...más-seguro

Por ahora la solución propuesta es:

Ejecutar el comando anexo por SSH para borrar el malware:
# curl http://download.qnap.com/Storage/tsd/uti...ropkick.sh | sh

Cambiar el puerto del sistema 8080 a otro puerto o cerrar cualquier reenvío a puerto externos.
Esto es para evitar que el NAS vuelva a infectarse.

QNAP lanzará un nuevo Malware Remover tan pronto como sea posible para solucionar esta vulnerabilidad.

Saludos,
  Responder
#2
Hola

Como norma y consejo no deberíamos tener abiertos al exterior más puertos que los estrictamente necesarios y sólo los que vayamos a usar. Y no tener el de gestión abierto exterior y NUNCA el de telnet.

También si es posible, cambiamos los puertos de número en la nas o si no es posible, hacemos traslación de puertos en el router.

Yo por ejemplo no tengo abierto el 8080.
Si necesito acceder desde el exterior podemos:
-bien usar el ssl (443 o el que hayamos definido). Parece que esto no es útil frente al último malware que ha aparecido. Así que también recomiendo desactivar ese apertura de puerto en el router.
-usar OpenVPN y una vez establecida la conexión accedemos a la Qnap por cualquier puerto y servicio, ya que al exterior solo está el de la vpn.

Esto último no servirá si queremos tener una web al público. En ese caso deberemos ser más precavidos y asegurarla lo mejor posible (certificados, parches al día contra vulnerabilidades, etc).


Un saludo
Agur eta ondo ibili
Un saludo

Agur eta ondo ibili

Ganekogorta (TS-469Pro, TVS-673e, QBoat Sunny, TS-453Be, TR-002 y QHora-301w) Ʀɐɯ0η
  Responder
#3
Buenas,

Veo que hay en el foro un par de hilos abiertos: "sin acceso a los discos" -> https://www.qnapclub.es/showthread.php?tid=2398 y "carpetas desaparecidas" -> https://www.qnapclub.es/showthread.php?tid=2401

Que al final hacen referencia a lo mismo que les pasa a los usuarios infectados por este Malware que se aprovecha del puerto por defecto 8080 para hacer que no veamos las carpetas desde filestation (no perdemos información).

Como bien recomienda nuestro compañero Ganekogorta y está escrito más arriba en este mismo hilo tenéis que:

conectar por ssh a tu nas (con putty por ejemplo) y ejecuta los comandos siguientes:

cd /mnt/ext
wget http://download.qnap.com/Storage/tsd/uti...ropkick.sh
chmod +x dropkick.sh
sh dropkick.sh
reboot

Tenéis un pequeño video de cómo hacerlo en el twitter de MacJosan: https://twitter.com/macjosan/status/990290199988133889

Si más hay dudas podemos resolverlas por aquí, en este mismo hilo, para unificar y centralizar.

Saludos,
  Responder
#4
Me alegra saber que el daño es mínimo, soóo oculta carpetas. Miedo me daría si les da por encriptar o borrar datos[emoji15]
Espero que esta experiencia nos haga ser más cautos con nuestra información (da igual que hablemos de Qnap, de Windows, de ...


Un saludo
Agur eta ondo ibili
Un saludo

Agur eta ondo ibili

Ganekogorta (TS-469Pro, TVS-673e, QBoat Sunny, TS-453Be, TR-002 y QHora-301w) Ʀɐɯ0η
  Responder
#5
Hola,

Desde luego, algo que no puede faltar además de las recomendaciones anteriores, son las instantáneas -> https://youtu.be/RrTwy7L1Esg

Saludos,
  Responder
#6
Buenas

Gracias Ganekogorta por la explicacion,  ya he encontrado lo que ocurria con los puertos, lo expongo por si otros user les ocurre lo mismo.

En el lifevox fibra de Jazztel aparece activado la opcion UPNP por defecto, lo suyo es desactivarla y activarla cuando nos haga falta.

En el NAS al ir a activar el servicio qnapcloul, el propio nas nos abre los puertos en el router ya que tenemos activado el upnp en el router. Desde el servicio myqnapcloul podemos abrir y cerrar esos puertos, en mi caso ya los he cerrado

[Imagen: imagen.jpg]

Despues volver al router y desactivar la opcion UPNP

Saludos
  Responder
#7
Gracias por compartirlo.
No caí en el tema de UPNP del router, es que yo lo tengo en manual y por eso no pensé en ello [emoji106]

Soy más de tener pocas cosas abiertas y si es posible en manual para tener más control y poder tirar del hilo en caso de problemas.

Tengo en PAPEL los puertos que abro. Una vez se me rompió un router y aunque tenía backup de la configuración no podía leerla a no ser que la restaurase en un router igual que el roto. Aprendí la lección del PAPEL [emoji6]

Un saludo
Agur eta ondo ibili
Un saludo

Agur eta ondo ibili

Ganekogorta (TS-469Pro, TVS-673e, QBoat Sunny, TS-453Be, TR-002 y QHora-301w) Ʀɐɯ0η
  Responder
#8
Buenas tardes.
Parece que con la nueva actualización de ha solucionado.
Al menos de momento tras actualizar sí consigo ver las carpetas.
Un saludo.
  Responder
#9
Efectivamente DoñaBlanca. Gracias por la info.

Voy a actualizar el NAS también y os cuento.

Aquí tenéis toda la info: https://www.qnap.com/es-es/releasenotes/

En resumen: Se corrigió una vulnerabilidad de envío de comando en el Servidor LDAP (CVE-2018-0712).

[Imagen: sgcRqDJ.png]

Saludos,
  Responder
#10
Actualización finalizada y todo OK.

Saludos,
  Responder




Usuarios navegando en este tema: 2 invitado(s)