Перейти к содержанию

Атаковали через уязвимость NAS


Рекомендуемые сообщения

10.01.2024 в 11:42, safety сказал:

Возможно, есть уязвимость в ПО, которое позволяет злоумышленникам подключиться из внешней сети без авторизации.

Проверьте, все ли рекомендации от производителей сетевых хранилищ QNAP выполнены  для защиты от атак шифровальщиков.

Добрый вечер. 

С нами случилась ситуация 1в1 с вышеописанной. NAS Zyxel 326 со всеми патчами, отключены все выходы во внешнюю сеть, работал только как локальное хранилище, всё равно атаковали через уязвимость самого NAS -создали облачного пользователя, которого даже удалить не могу.

Подскажите, какой вариант с починкой файлов? Заранее спасибо.

 

Сообщение от модератора Mark D. Pearlstone
Перемещено из темы.
Ссылка на комментарий
Поделиться на другие сайты

10 часов назад, SS78RUS сказал:

NAS Zyxel 326 со всеми патчами, отключены все выходы во внешнюю сеть, работал только как локальное хранилище, всё равно атаковали через уязвимость самого NAS

Возможно, атаковали другое устройство в сети, с которого были доступны диски NAS.

Ссылка на комментарий
Поделиться на другие сайты

7 часов назад, safety сказал:

Возможно, атаковали другое устройство в сети, с которого были доступны диски NAS.

Нет, по логам брандмауэра роутера видно, что подключение было извне напрямую к NAS.

Через пул прокси атаковали, в основном китайских.

Изменено пользователем SS78RUS
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ИвКо
      От ИвКо
      Неделю назад 14 сентября вечером, включил свое накопитель NAS/
      Все файлы были в порядке. Стал смотреть фильм записанный в хранилище. Через какое-то время вернувшись в общий каталог обнаружил что почти все файлы подверглись шифровке и стали иметь вид "2023.02.16_Соловьи_2 этаж.dwg.L0CK3D" После родного расширения добавилось вот это .L0CK3D.
      Так же в каждой папке появился файл с требованиями.
      FRST.txt Addition.txt Зашифрованные и файл требование.rar
    • KL FC Bot
      От KL FC Bot
      Плохие новости для компаний, использующих сайты на базе WordPress с механизмом двухфакторной аутентификации, реализованным через плагин Really Simple Security. Недавно обнаруженная в этом плагине уязвимость CVE-2024-10924 позволяет постороннему человеку аутентифицироваться на сайте под видом легитимного пользователя. Поэтому плагин рекомендуется обновить как можно быстрее.
      Чем опасна уязвимость CVE-2024-10924
      Как бы иронично это ни звучало, но уязвимость CVE-2024-10924 в плагине с названием Really Simple Security имеет CVSS-рейтинг 9.8 и классифицируется как критическая. По сути это ошибка в механизме аутентификации, из-за которой атакующий может залогиниться на сайте как любой из зарегистрированных на нем пользователей, с полными его правами (даже админскими). В результате это может привести к перехвату контроля над сайтом.
      На GitHub уже появились доказательства возможности эксплуатации этой уязвимости. Более того, судя по всему, ее применение можно автоматизировать. Исследователи из Wordfence, обнаружившие CVE-2024-10924, назвали ее самой опасной уязвимостью, обнаруженной ими за 12 лет работы в сфере безопасности WordPress.
       
      View the full article
    • Rezist
      От Rezist
      Включен доступ из сети. Была уязвимость ПО. Прошивку обновил
      Возможно ли дешифровать данные?
      read-me3.txt
    • Витас
      От Витас
      Сегодня 24.07.2024 г. примерно в 8:30 ч вирус-шифровальщик зашифровал файлы в общей папке (в папке с открытым доступом)  и файлы в папке с базой 1С (база файловая. опубликованная на веб-сервере IIS). Имеется белый статический ip-адрес. За пределы этих двух папок вирус не распространился. на других компьютерах  в локальной сети не замечен. На всех компьютерах установлен Kaspersky Standart. Некоторые файлы помимо зашифрованного вида имеют рядом оригинальный файл с правильным размером и правильной датой создания. который можно без проблем открыть (в основном .jpeg) (пример такого файла в архиве)
      Arhiv.zip
       
      Добрый вечер! Прошу прощения, не поздоровался
    • umdraak
      От umdraak
      Доброго времени суток!
       
      Ситуация следующая. На смартфон пришла смс-ка такого содержания: 
       
      "Здравствуйте! Вы подключили сервис <<Гороскоп дня>>. Стоимость 15 руб./день. Отключить подписку: [далее следует ccылка, готов предоставить].."

      Подозревая фишинг, хотел пробить ссылку в интернете на спецсайтах, но сослепу не заметил, что скопировал её в адресное окно браузера и случайно перешёл на сайт по указанной ссылке. Визуально произошла имитация процедуры отписки от некой мифической подписки и всё. Сам сайт - явно на коленке созданная имитация сервиса гороскопов.

      В ужасе пробил-таки ссылку на VirusTotal - сам сайт сильно засветиться не успел (создан 15 дней назад), но он входит в созвездие других сайтов, многие из которых уже обозначены в некоторых базах данных в качестве угроз безопасности.

      Все манипуляции со ссылкой происходили на смартфоне (Samsung, Android). На телефоне установлена бесплатная версия антивируса Kaspersky - прогнал проверку устройства, ничего не найдено.

      Просьба помочь в установлении природы той уязвимости, в которую я вляпался, и подсказать шаги по исправлению ситуации.
       
      (Если сюда можно сбрасывать ссылки на вредоносные сайты, то сброшу. Если нет, подскажите куда направить.)
       
      Заранее огромное спасибо! 
       
×
×
  • Создать...