Important - Synology Corrige Une Faille De S

[stillman]

Merci pour ton aide

Hélas non c'est bien cela que je ne comprends pas !

Y a t'il un moyen de "tuer" le processus ?

[pluton212+]

en console en root:

kill -9 pid du processus

[stillman]

Merci pluton212+

Peux tu être plus explicite car je n'ai jamais utilisé la console et je ne sais pas comment déterminer l'id du processus , merci à toi

[ledac-frenchy]

Bonsoir ,

Je viens de voir le souci pour la faille de sécurité et comme beaucoup je suis inquiet ...

bref , je suis possesseur d'un DS214 avec une version "A jour" 4.3 -3776 .

et il me dit que c'est la dernière version disponible .... pouvez vous me dire si il est nécessaire de passer a une version plus haute (correctif ?) et si oui comment se procurer le fichier ?

merci d'avance pour vos réponses

[Phil2000]

Bonjour,

Encore un truc un peu pénible a gérer ...j'ai fait la mise a jour hier (bien que ne pensant pas être infecté) .... Et maintenant impossible de me connecter sur le NAS (accès par browser sur port 5001 pour l'interface de gestion) : "le système se prépare, connectez vous ultérieurement"

En lisant les forums, il semblerait que la première chose a faire serait d'éteindre le nas et le rallumer ... Mais .... Je suis a 500kms du nas .....

Une idee .... Car je suis maintenant bloque pour un moment .....

Merci merci,

Phil

[Mic13710]

Dans le DSM vous avez un bouton en bas du menu principal pour redemarrer le NAS.

[Phil2000]

Ben le probleme, c'est que pour entrer dans le dsm, j'ai besoin de me logger, non ?

Merci en tout cas du retour,

Phil

[Gwen.LR]

Tu peux essayer partir d'un smartphone avec l'application DS Finder. Elle permet de redémarrer le NAS à distance. Sinon, une connexion en SSH, il te suffit d'ouvrir le port 22 de la box à laquelle il est relié.

Modifié le 1 mars 2014 par Gwen.LR

[Phil2000]

Super, j'arrive a me logger a distance en telnet (root + password), par contre, peux- tu m'aider a nouveau en me donnant la commande linux pour rebooter et voir ensuite si mon login admin fonctionne de nouveau ?

Merci !!!!

Phil

[Gwen.LR]

Je suis pas un spécialiste, mais à priori c'est simplement la commande "reboot" Par contre, il faut bien être connecté en root.

Modifié le 1 mars 2014 par Gwen.LR

[Phil2000]

Super ! Ca remarche, j'arrive de nouveau a me logger sur tous les service en admin.

J'ai eu chaud ! Merci pour l'idée de la connexion telnet et du reboot.

Merci,

Phil

[lloyd]

Bonjour à tous,

En regardant le tableau de bord "info" de mon DS213, j'ai trouvé que la température était plus élevée que d'habitude.... et chose très bizarre via, l'interface WEB : impossible d'avoir les informations du monitor de ressources (avec un message d'erreur de problème de connexion réseau)... et en faisant un simple "top", j'obtiens :

Mem: 487200K used, 24200K free, 0K shrd, 43880K buff, 353376K cached
CPU: 49.8% usr 9.3% sys 40.4% nic 0.0% idle 0.0% io 0.0% irq 0.3% sirq
Load average: 5.38 4.73 3.82 3/146 7049
PID PPID USER STAT VSZ %MEM %CPU COMMAND
11682 1 root S 86524 16.9 0.2 /var/packages/MediaServer/target/sbin/
30071 9774 root S 13800 2.7 0.2 /usr/syno/apache/bin/httpd -f /usr/syn
5 2 root SW 0 0.0 0.2 [khelper]
21502 15832 nobody S 97m 19.5 0.0 /usr/syno/apache/bin/httpd -DHAVE_PHP
21637 15832 nobody S 99964 19.5 0.0 /usr/syno/apache/bin/httpd -DHAVE_PHP
21638 15832 nobody S 99948 19.5 0.0 /usr/syno/apache/bin/httpd -DHAVE_PHP
21636 15832 nobody S 99948 19.5 0.0 /usr/syno/apache/bin/httpd -DHAVE_PHP
15901 15832 nobody S 98456 19.2 0.0 /usr/syno/apache/bin/httpd -DHAVE_PHP
15832 1 root S 97712 19.0 0.0 /usr/syno/apache/bin/httpd -DHAVE_PHP
11304 1 root S < 65944 12.8 0.0 /var/packages/AudioStation/target/sbin
12069 1 root S 63440 12.3 0.0 /var/packages/VideoStation/target/sbin
15357 7385 admin S 34808 6.8 0.0 postgres: admin mediaserver [local] id
7913 7385 admin S 34444 6.7 0.0 postgres: admin synolog [local] idle
7387 7385 admin S 33880 6.6 0.0 postgres: writer process
7385 1 admin S 33756 6.5 0.0 /usr/syno/pgsql/bin/postgres -D /var/s
7388 7385 admin S 33756 6.5 0.0 postgres: wal writer process
11105 1 root S N 32908 6.4 0.0 /usr/syno/sbin/synoindexd
11995 1 root S N 32036 6.2 0.0 /var/packages/VideoStation/target/sbin

==> le CPU est à 100% :-/ ... D'où la température inhabituelle.

en cherchant, je n'ai pas trouvé les fichiers que l'on doit trouver lorsqu'on a été infecté. J'ai fait un reboot : c'est toujours pareil après. A regarder, le syno n'est pas non plus en train d'indexer....

autre chose bizarre : via l'interface web : impossible d'accéder à la mise à jour (encore de fameux message de problème de connexion réseau)

Il n'y a pas de traffic sur le lan, et la mémoire est juste chargée à environ 20%

Si je fais un ps => pas de trace de fichiers PWED ou similaire.

Qu'en pensez vous ?

J'ai une ancienne version du DSM : 4.1-2668.

[EDIT] je viens de trouver le script non-Synology comme “S99p.sh”, sous “/usr/syno/etc/rc.d

@x+

lloyd

Modifié le 2 mars 2014 par lloyd

[Gwen.LR]

Pour le moniteur de ressource, j'étais dans le même cas que toi et j'étais infecté. Mais moi, j'avais les dossier créé par l'infection. http://www.nas-forum.com/forum/index.php?/topic/39651-Moniteur-De-Ressources:-La-Connexion-A-Échoué.-Vérifiez-Vos-Paramètre-Réseau Au final, le simple fait de faire la mise à jour à supprimé toute trace de l'infection.

Modifié le 1 mars 2014 par Gwen.LR

[lloyd]

Re,

Yes, merci pour ton message. En effet j'avais vu ton post qui ressemble fortement au même problème, mais moi, via l'IHM Web : impossible de faire la mise à jour, car j'ai le même message d'erreur que celui que tu avais en essayant d'accéder aux ressources.... ça sent la ré-install :-/

@+

lld

[Gwen.LR]

Bah, c'était pareil pour moi, impossible depuis le DSM.J'ai dû télécharger la MAJ sur le site et l'installer depuis le DSM, sans hard reboot.

Modifié le 2 mars 2014 par Gwen.LR

[Nino11]

Bonjour,

J'ai un DS212j et je suis clairement infecté.

J'ai téléchargé la mise à jour (DSM_DS212j_3827.pat) mais n'ayant plus l'accès à l'interface web, je ne sias pas comment l'installer !

Pouvez-vous m'aider ? J'ai accès en Telnet au NAS avec mon compte admin (pas root).

Modifié le 2 mars 2014 par Nino11

[lloyd]

Hello,

Et bien comme je ne pouvais pas faire la mis eà jour, car l'IHM web ne le permettait pas, j'ai téléchargé la dernière version de l'Assistant ainsi que la dernière version du DSM.

Ensuite, j'ai suivi la procédure décrite dans le guide utilisateur avec le double appui pendant 4 secondes de suite sur le bouton RESET, et ensuite seulement, l'Assistance peut voir le NAS en mode "configuration perdue " et donc tu peux relancer une installation.

Réinstallation du Synology NAS

Si vous souhaitez réinstaller votre Synology NAS sans perdre de données, vous pouvez utiliser le bouton RESET situé sur la face arrière.
Pour réinstaller le Synology NAS :

1 Appuyez sur le bouton RESET et maintenez-le enfoncé pendant 4 secondes jusqu’à ce que votre Synology NAS émette un « bip ».
2 Durant les 10 secondes qui suivent, appuyez sur RESET et maintenez-le enfoncé pendant 4 secondes jusqu’à ce que votre Synology NAS émette un « bip ».
3 Suivez les instructions d’installation du Guide d’installation rapide pour votre modèle disponible sur le Centre de téléchargement de Synology pour configurer le NAS.

Important : Les données enregistrées sur le Synology NAS ne sont pas effacées lors de la réinstallation. Il est toutefois fortement recommandé de sauvegarder les données pour des raisons de sécurité.

Toute ta configuration sera perdue (users, groupes, sauvegardes, paquets installés, configuration, ....) MAIS je n'ai pas perdu mes données ! : )

@+

lld

Modifié le 2 mars 2014 par lloyd

[Nino11]

M

Hello,

Et bien comme je ne pouvais pas faire la mis eà jour, car l'IHM web ne le permettait pas, j'ai téléchargé la dernière version de l'Assistant ainsi que la dernière version du DSM.

Ensuite, j'ai suivi la procédure décrite dans le guide utilisateur avec le double appui pendant 4 secondes de suite sur le bouton RESET, et ensuite seulement, l'Assistance peut voir le NAS en mode "configuration perdue " et donc tu peux relancer une installation.

Toute ta configuration sera perdue (users, groupes, sauvegardes, paquets installés, configuration, ....) MAIS je n'ai pas perdu mes données ! : )

@+

lld

Merci beaucoup, je viens de suivre toute la procédure et j'ai récupéré mon NAS. J'ai plus qu'à refaire l'intégralité de la conf

[lloyd]

Re,

content que cela refonctionne pour toi !

Chez moi, la ré-installation avec la dernière version du DSM m'a permis d'avoir à nouveau accès à tout, mais la charge CPU est encore importante, comme 96 ou 97%, mais je pense que cela est dû à la création de miniatures ou similaire (car j'ai mis en pause la réindexation)

@+

lld

Modifié le 2 mars 2014 par lloyd

[Nico38660]

Salut tout le monde,

Bon bein je crois que moi aussi je suis infecté.

J'ai un DS212J avec la version 4.3.3776.

Je me suis rendu compte hier en me connectant sur le serveur que j'avais plein de tentatives de connexion en échec dans la partie "Journaux récents".

J'ai tenté de me connecté au moniteur de ressource et là, surprise: Impossible d'accéder au moniteur de ressource => Message erreur " La connexion a échoué. Veuillez vérifier vos paramètres réseau"

Après des recherches sur le net, j'arrive enfin sur ce post.

J'ai télécharger le correctif DSM_DS212j_3827.pat sur le site de Synology pour faire une mise à jour manuelle comme beaucoup l'on fait ici.

Mais mon pb, c'est que lorsque je clique sur "Mise à jour DSM" dans le panneau de configuration, j'ai exactement le même message d'erreur que lorsque j'essaye d'accéder au moniteur de ressource.

Du coup, je suis perdu et je sais pas comment mettre à jour mon firewall.

Est ce que vous pouvez m'aider svp ?

Merci.

Nico.

[HommeTranquille]

Bonjour à tous,

Une petite remarque en passant...

Les tentatives d'intrusion semblent en accroissement permanent depuis quelques jours... Surveillez attentivement les messages d'erreur vous avertissant de ces tentatives et grillez sans hésiter les adresses IP qui correspondent à ces intrusions et n'oubliez pas qu'une adresse IP ne signifie pas grand chose et peu se remplacer par une autre assez facilement (par un Proxy par exemple).

Les messages d'erreur vous indiquent en général le User-id de l'intrus (i.e. root, developper, admin...). Vous pouvez renforcer la sécurité par un password digne de ce nom ou en effectuant un rename des User-id attaqués...

Bonne défense !

Modifié le 4 mars 2014 par HommeTranquille

[Nico38660]

J'avais cru comprendre que justement le hackers utilisaient la faille de sécurité pour s'introduire dans le NAS.

Du coup, rien à voir avec le mot de passe donc ...

Pour mon pb, j'ai fait un backup de mes données et je pense que je vais refaire une install ''from scratch'' au moins je serais sur de ne plus avoir d'intrus chez moi !!

Modifié le 5 mars 2014 par Nico38660

[HommeTranquille]

J'avais cru comprendre que justement le hackers utilisaient la faille de sécurité pour s'introduire dans le NAS.

Du coup, rien à voir avec le mot de passe donc ...

Pour mon pb, j'ai fait un backup de mes données et je pense que je vais refaire une install ''from scratch'' au moins je serais sur de ne plus avoir d'intrus chez moi !!

Bien sur qui si... Cela a un rapport direct.... Une faille de sécurité peu trouver son origine dans de multiples causes mais l'intrusion par un logon-id/password mals protégés est une des causes principales si ce n'est LA cause principale.

Il y a un excellent article dans un blog, sur lequel je suis tombé par hasard, et que je conseille de lire :

http://blogmotion.fr/systeme/securiser-synology-10018

Je ne connais pas l'auteur, mais c'est une très bonne synthèse que l'auteur a intitulée "[synology] 8 méthodes pour sécuriser l’accès à votre NAS – Blogmotion".

[M4rcus]

Salut à tous,

J'ai été infecté par le malware, et j'ai eu ces symptomes:

- apparition du script non syno "S99p.sh

- et surtout modification du mot de passe root

J'ai régler le pb en remodifiant le mdp admin depuis un autre compte et en appliquant la dernière mise à jour syno depuis DSM puisque le changelog indique que la maj "repairs the system and removes malware"

Et effectivement après la maj plus de fichier S99p.sh.

Par contre j'ai 2 questions:

- Savez-vous si mon mdp root a pu être lu? Car actuellement j'ai remis le même au moins temporairement car il était fort et je pouvais le retenir assez facielement. Dois-je le changer?

- J'avais fait les manip pour faire le bootstrap et installer ipkg et il semble que ça a disparu. Je ne sais pas si c'est dû au malware ou à la maj. je crois que j'étais en version 4.2 avant la maj en 4.3. Je pense que tout a été supprimé car :

* à la commande #ipkg la console indique qu'elle ne connait pas de logiciel correspondant

* dans DSM IPKGgui indique qu'il ne trouve pas IPKG

* et surtout je n'ai plus de dossier opt

Est-ce que cette disparition est "normale"? Ya-t-il d'autres choses à vérifier avant de reprendre l'installation d'ipkg depuis le début?

Marc

Modifié le 10 mars 2014 par M4rcus

[Kranebus]

J'ai un problème avec mon DS413

Suite à une coupure de courant, plus d'accès au NAS que ce soit via l'IHM web ou via putty

Mon NAS est visible sur l'assistant en mode démarrage des services

Il est en vert sur le Centre MyDS

Je n'avais pas fait de mapping réseau donc je ne sais pas si je peux y accéder

Ma led bleue clignotte

Ma led status est éteinte

Je suis aussi en DSM 4.3-3810, j'ai vu sur le support qu'il y avait un correctif du DSM suite à la faille de sécurité mais bien sûr je ne peux pas l'installer pour le moment

J'ai tenté le double reset le NAS ne s'éteint plus

Bref je suis bloqué

Quelqu'un a une idée sur le sujet ?