lorenzo c Posté(e) le 22 avril 2015 Partager Posté(e) le 22 avril 2015 bonjour a tous j'ai eu ce matin ce petit message sur mon 214play concernant un maliciel detecté les fichiers suivant ont été modifié : /lib/modules/ftdi_sio.ko et /lib/modules/usbserial.ko d’après mes recherches il semblerai que cela soit du a l'installation du package synozwave j'ai désinstaller le package .. mais j'ai toujours l'erreur .. y aurai t'il une procédure simple pour remettre ça conforme ? 1 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
PiwiLAbruti Posté(e) le 22 avril 2015 Partager Posté(e) le 22 avril 2015 Est-ce que les modules ftdi_sio.ko et usbserial.ko sont toujours présents dans /lib/modules ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
gaetan.cambier Posté(e) le 22 avril 2015 Partager Posté(e) le 22 avril 2015 apparemment, les 2 fichiers existent sur un dsm sans ce paquet 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
PiwiLAbruti Posté(e) le 22 avril 2015 Partager Posté(e) le 22 avril 2015 La question serait alors de savoir si le paquet synozwave n'écraserait pas ces deux librairies avec une version plus récente. Où as-tu téléchargé le paquet synozwave ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
PiwiLAbruti Posté(e) le 22 avril 2015 Partager Posté(e) le 22 avril 2015 (modifié) Après investigation, le paquet SynoZwave copie les modules cp210x.ko, ftdi_sio.ko, pl2330.ko et usbserial.ko depuis /var/packages/synozwave/target/modules vers /lib/modules avec la commande que l'on trouve dans /var/packages/synozwave/scripts/postinst : cp ${PKGPATH}/target/modules/*.ko /lib/modules/ Plus violent tu meurs. Cette commande écrase les versions originales des modules ftdi_sio.ko et usbserial.ko (cp210x.ko et pl2330.ko n'existent pas à l'origine) sans faire de sauvegarde préalable. Ainsi les versions originales ne sont pas restaurées lors de la désinstallation du paquet, d'où le DSM qui fait bien son boulot en détectant ces modules modifiés comme une menace. Il est cependant possible de récupérer les versions originales dans le fichier du firmware (.pat) ouvert avec 7zip. Ce paquet est une honte ! Je laisse ceux qui l'utilisent le signaler à SynoZwave (je n'utilise pas ce paquet). Pour télécharger ce paquet sans passer par le dépôt : http://www.synozwave.com/SPKs/?file=synozwave_0.0.017.02_88f6281(vous pouvez remplacer 88f6281 par l'architecture de votre NAS, sous réserve que le fichier correspondant existe). Modifié le 22 avril 2015 par PiwiLAbruti 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
lorenzo c Posté(e) le 22 avril 2015 Auteur Partager Posté(e) le 22 avril 2015 (modifié) voila l'article que j'ai trouvé ce matin sur le site de synology : Security Advisor est responsable d'une vérification complète des paramètres système de DSM pour sécuriser votre Synology NAS. Lorsque vous recevez ce message de Security Advisor, une des possibilités est que vous avez peut être installé/exécuté des packages tiers non certifiés dans votre Synology NAS. L'utilisation de tels package a pu modifier les fichiers système de DSM et ainsi rendu votre Synology NAS vulnérable. Pour protéger votre Synology NAS de problèmes liés à la sécurité, il est fortement recommandé d'obtenir des packages vérifiés par Synology via le Centre de Packages ou Le centre de téléchargement Synology. Vous trouverez ci-dessous les packages non certifiés connus pouvant endommager la santé de votre Synology NAS. Nous continuerons de mettre à jour cette liste afin de vous aider à rester informés de tels packages. Nom du package : -SynoZWave Symptôme - /lib/modules/usbserial.ko - /lib/modules/ftdi_sio.ko Impact -Instabilité du système Niveau -Bas c'est donc bien synozwave qui a fait ca .. j'ai voulus tester le paquet ( alors que je n'ai meme pas recu ma clé usb Zwave ... lol ) .. d un coté je suis un peu rassuré car le probleme est identifé .. meci Piwi et gaetan pour vos reponses .. j'ai le fichier .pat du dsm .. je vais voir comment recup les fichiers et les remplacer sur le nas Modifié le 22 avril 2015 par lorenzo c 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
gaetan.cambier Posté(e) le 22 avril 2015 Partager Posté(e) le 22 avril 2015 En fait le problème c'est que dans un paquet, on fait vraiment ce que l'on veux sans aucune restrictions A la limite tu peux même mettre un rm -Rf / a l'installation du script, il y a aucune sécurités contre ça :s 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
PiwiLAbruti Posté(e) le 22 avril 2015 Partager Posté(e) le 22 avril 2015 C'est pour ça que chez SynoCommunity le code des scripts utilisés est facilement consultable sur GitHub, et que les modifications apportées sont soumises à validation par une poignée de développeurs. On regrette juste que les éditeurs de logiciels n'utilisent pas nos services pour créer leurs paquets. Après on ne fait aucun effort non plus pour les attirer. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
gaetan.cambier Posté(e) le 22 avril 2015 Partager Posté(e) le 22 avril 2015 (modifié) j'ai des pr qui trainent depuis 1 mois et rien, bref vu l'absence de reponse je diffuse les paquet modifie depuis chez moi, et tant pis pour la communaute ! j'ai plein de modification que je devrait pousser, mais vu que les première ne passent meme pas, j'essaye pas plus a la fois, loli71 avait essayé de pousser aussi des modif (ca dois faire 6 mois) pour le squidguard, et rien, bizarre qd meme Modifié le 22 avril 2015 par Gaetan Cambier 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
PiwiLAbruti Posté(e) le 22 avril 2015 Partager Posté(e) le 22 avril 2015 Je ne sais pas pourquoi Diaoul met tant de temps à valider les PR. Au pire il pourrait déléguer cette tâche à d'autres. Essaye de voir ça directement avec lui. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.