Une attaque d'un cheval de Troie appelé SYNOLOCKER qui encrypte les données de votre Syno contre une rançon est en cours depuis hier-soir dimanche.
C'erst une menace très sérieuse.
il est URGENT pour ceux qui ont ouvert un accès au web à leur Syno de le désactiver au plus vite.
Plus d'infos : http://korben.info/synolocker.html
Dans les paramètres de votre routeur/box Internet, désactivez la redirection du port 5000 vers votre NAS.
Désactivez WebDAV dans la console de gestion de votre DSM.
Pour ceux qui auraient choppé le troyen, une procédure pour reprendre la main sur votre DSM existe, mais elle ne permet pas pour l'instant de recouvrir les fichiers qui auraient déjà été encryptés :
http://forum.synology.com/enu/viewtopic.php?f=3&t=88716#p333751
Here is how you do it:
1. Shut down the NAS
2. Remove all the hard drives from the NAS
3. Find a spare hard drive that you will not mind wiping and insert it into the NAS
4. Use Synology Assistant to find the NAS and install the latest DSM onto this spare hard drive (use the latest DSM_file.pat from Synology)
5. When the DSM is fully running on this spare hard drive, shut down the NAS from the web management console.
6. Remove the spare drive and insert ALL your original drives.
7. Power up the NAS and wait patiently. If all goes well after about a minute you will hear a long beep and the NAS will come online.
8. Use Synology Assistant to find the NAS. It should now be visible with the status "migratable".
9. From Synology Assistant choose to install DSM to the NAS, use the same file you used in step 4 and specify the same name and IP address as it was before the crash.
10. Because the NAS is recognized as "migratable", the DSM installation will NOT wipe out the data on either the system partition nor the data partition.
11. After a few minutes, the installation will finish and you will be able to log in to your NAS with your original credentials.
Bonne chance !
EDIT : liste des ports à fermer sur votre routeur :
tcp/5000 et tcp/5001 (DSM), tcp/22 (SSH), tcp/23 (Telnet), tcp/80 et tcp/443 (Web Station).
Merci pour l'info ! Je sais ce qu'il me reste à faire ce soir (mon Syno n'est pas allumé en journée)
je ne suis pas concerné mais merci pour le partage
bon courage à ceux qui ont du boulot
Merci pour l'info
J'ai isolé le mien du net (412+) en attendant plus d'infos.
Rien sur le site Synology pour l'instant. Faut les laisser bosser....
Un lien :
http://www.nas-forum.com/forum/topic/42480-synolocker-le-cheval-de-troie-qui-rackette-les-possesseurs-de-synology/
Merci beaucoup.
Le mien était éteint depuis 3 semaines pour cause de congés.
J'espère que ce sera suffisant.
Je n'ose plus le rallumer. ???
Je guette les infos.
un nas pas connecté au net .. ça fait désordre ;D
Titan
Citation de: Pat75 le Août 04, 2014, 18:24:17
Merci beaucoup.
Le mien était éteint depuis 3 semaines pour cause de congés.
J'espère que ce sera suffisant.
Je n'ose plus le rallumer. ???
Je guette les infos.
Si ça fait 3 semaines qu'il était éteint, il ne devrait pas être concerné, l'attaque a commencée hier-soir.
Et, si tu n'as pas configuré ton NAS pour être disponible depuis le Web, tu ne risques rien, l'accès au NE
et n'est pas activé par défaut.
Au pire, allumes ton NAS après avoir déconnecté ton réseau local du Net, et ça roule, comme il n'aura pas accès au Net, il ne risquera rien.
J'ai du mal à comprendre que l'on puisse mettre un NAS en direct sur Internet. Sur un intranet, bien entendu oui, c'est fait pour, y compris le serveur web et tous les gadgets.
Ou alors il n'y a que des copies de ses données - non sensibles- et on peut se permettre de tout reformatter si on a été infecté.
Merci Couscousdelight
Merci aussi !
Bonjour,
Aujourd'hui un mail de Synology à propos de cette attaque: mettre à jour si ce n'est fait votre DSM car comme indiqué sur le forum synology (http://forum.synology.com/enu/viewtopic.php?f=108&t=88770) le trou de sécurité est bouché depuis décembre.
Bon comme d'hab , il suffit d'être à jour...
JF
Citation de: jfm-72 le Août 08, 2014, 17:32:25
Bon comme d'hab , il suffit d'être à jour...
Oui, surtout que les pirates analysent les différences lors des mises à jour, ce qui leur montre (de temps en temps) les failles qui ont été comblées, et il en déduisent les méthodes d'attaque de ceux qui n'ont pas fait la MAJ.
Pour info:
http://www.techradar.com/us/news/software/operating-systems/bash-vulnerability-all-you-need-to-know-1266890
Pour les utilisateurs de Synology
http://forum.synology.com/enu/viewtopic.php?f=4&t=90732&start=30
Pour les utilisateurs de QNAP:
http://www.wegotserved.com/2014/09/26/qnap-warns-users-pull-remote-access-race-patch-bash-shellshock-bug/
Citation de: Le Tailleur le Novembre 01, 2014, 05:26:34
Pour info:
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271
http://www.techradar.com/us/news/software/operating-systems/bash-vulnerability-all-you-need-to-know-1266890
Pour les utilisateurs de Synology
http://forum.synology.com/enu/viewtopic.php?f=4&t=90732&start=30
Pour les utilisateurs de QNAP:
http://www.wegotserved.com/2014/09/26/qnap-warns-users-pull-remote-access-race-patch-bash-shellshock-bug/
DSM 5.1 Update ready!