Qnap Alerte QNAP : des attaques sont en cours (brute force et ransomware)

papapoule

Padawan
Bonjour,
J’ai été victime de cette attaque le 6 janvier 2022, j’ai un NAS QNAP HS-251-2G avec la version logicielle 4.3.6.1907 du 3 janvier 2022, suis-je protégé ? Car la version logicielle est inférieur à celle mentionnée dans l'article.

Ce que j’ai constaté c’est que j’ai 3 partitions sur les 5 qui ont été impactées en totalité ou presque. Sur les 3 qui sont touchées, 2 sont récupérables facilement car il n’y a pas eu de mouvement depuis la dernière sauvegarde, mais 1 à pas mal bougée, et j’aurais besoin de récupérer mes données, mais j’avoue être perdu sur la marche à suivre, sur ce qui peut être tenté…

Je sais qu'il y à le logiciel QRescue, mais je ne dispose pas de disque dur avec une capacité 1,5 à 2 fois celle du NAS.
Est-ce qu'il est possible de choisir quels dossiers on veut récupérer ? Ou quel partition du disque ?

J'ai une sauvegarde, mais qui date d'août bien sur (depuis le temps que je disait qu'il faut que je fasse une nouvelle sauvegarde....).
Le comble, c'est que je ne sais même pas comment accéder à ma sauvegarde sur mon disque externe, puisque celle-ci à été réalisé via l'outil QNAP, et donc non lisible avec mon PC o_O
 

papapoule

Padawan
il existe un outils sous windows pour lire tes backups

si tu as bien utilisé la dedup sous HBS
Exact c'est bien avec cette outil merci à toi. Je l'avais pourtant déjà utilisé, mais j'avais complètement oublié son existence...
Par contre je me rend compte que je suis très mauvais dans ma gestion des sauvegarde, et que le temps passe très vite... car la dernière date bien de août, mais août 2020 :eek: :eek:

Des infos si QRescue permet de sélectionner des dossiers ou partitions ?
 

webmail

Modérateur
Membre du personnel
normalement tu peux choisir de restaurer que un fichier, un dossier ou n'importe quelle selection que tu définies
 

papapoule

Padawan
normalement tu peux choisir de restaurer que un fichier, un dossier ou n'importe quelle selection que tu définies
Ok, faut que je me plonge plus dedans alors, mais comme je ne comprend pas du tout l'anglais et que le tuto est en anglais, c'est compliqué pour moi. Et j'ai aussi le problème de trouver le support sur lequel sauvegarder
 

Ben-

Apprenti
Salut, je n'ai pas de partition sur mon NAS.... seulement 2 disques dur...
QRescue me propose en lançant photorec une liste qui affiche
/sda (mon premier disque dur)
/sdb (mon second disque dur)
/sdc ( USB Disk module) - je ne sais pas à quoi ça correspond
/sdd (Mon disque de sauvegarde de la procédure QRescue) - celui qui récupère les données via photorec
puis le reste ci-dessous il semblerait que ce soit les parties RAID ... mais j'avoue ne pas assez m'y connaitre.
/md0
/md13
/md256
/md9
 

MaeTTep

Nouveau membre
Bonjour à tous

pour le moment je ne suis pas impacté, quelqu'un sait la manière dont ils s'y prennent pour injecter leur saloperie ?

Y a t'il des mesures préventives à prendre (à part couper le NAS du net ?) et faire les mises à jour

d'avance merci de vos retours
 

MaeTTep

Nouveau membre
Super ben justement en rémarrant mon Nas il vient d'installer le service QVPN... et j'ai cru comprendre que c'était un des point faible !!!
 

ploufe

Nouveau membre
Je n'ose pas trop réinstaller mon QNAP pour le moment...

Toujours aucune info sur la faille? A t'elle été comblée?
 

ploufe

Nouveau membre
Bonjour,
Avant d'acheter un gros DD pour faire un rescue, savez vous si Qrescue fonctionne sur cette attaque (Qlocker?)?
 

Ben-

Apprenti
ça marchotte je dirais !

Certainement suivant la vieillesse de ton NAS... Le mien étant plus vieux, je n'ai pas le tout dernier OS et j'ai pu récupérer des centaines de fichiers mais tout est mélangé et c'est vraiment la galère. Après ça ne détruit rien je pense tant que tu n'écris pas sur ton disque !
 

Chon

Chevalier Jedi
Salut à tous,
Certainement suivant la vieillesse de ton NAS... Le mien étant plus vieux, je n'ai pas le tout dernier OS et j'ai pu récupérer des centaines de fichiers mais tout est mélangé et c'est vraiment la galère. Après ça ne détruit rien je pense tant que tu n'écris pas sur ton disque !
J'ai le même NAS que toi et par chance, je n'ai pas été touché par ces attaques. Je pensais que justement, l'ancienneté de nos NAS était peut-être la meilleure parade, les pirates ne s'attaquant peut-être pas à des machines qui ne sont plus très fréquentes. Erreur de jugement de ma part donc...
Si tu as un peu de temps, il serait peut-être intéressant de comparer nos configs, voir si il y a des différences majeures notamment en terme de sécurité.

Chez moi :

QTS 4.3.4.1652
Compte admin désactivé
Upnp désactivé
Tous les ports par défaut utilisés changés
DDNS myqnapcloud actif avec certificat Let'sEncrypt
Services multimedias désactivés
Client VPN (NordVPN) actif
Service de bannissements configuré et actif
Malware remover à jour et actif
Système et applis toujours à jour
...
 

schwinny

Padawan
Je pensais que justement, l'ancienneté de nos NAS était peut-être la meilleure parade
Ce ne sont pas des pirates derrières des attaques mais des scripts fait par des pirates.

Ca attaque de l'ip 1.1.1.1 a 255.255.255.255 en gros (oui je sais... 255.255.255.255 est une adresse de diffusion de Broadcast :) ) et si ca trouve du nas --> ca crypte...
 

Alexyber

Padawan
Bonjour à tous,

j'ai un QNAP TS-453B, avec le dernier firmware 5.0.0 à jour. Mon QNAP n'a jamais été hacké.
Mais en lisant vos messages, je trouve ca franchement flippant !! Surtout quand je vois que ca a eu lieu sur des routeurs "a jour" et bien protégés (compte admin desactivé, identification à 2 facteurs etc...).

Plusieurs personnes ont demandé de quoi ca pouvait provenir, et que faire pour se protéger, mais je n'ai pas vu de réponse : Vous avez des éléments ? Vraiment je ne comprends pas trop comment c'est possible : vous avez une idée d'ou ca peut venir ?

et surtout, que peut on faire pour se protéger ?
Je viens de desactiver UPNP sur mon routeur, mais je n'ai aucune idée de son impact et de si c'est suffisant.
Merci
Alexis
 

QoolBox

Représentant QNAP
Rappelle Sécurité

Toujours modifier les ports standard 8080 , 443 de QTS

Menu Panneau de contrôle > Paramètres généraux > administration du système

Mettre des ports élevés par exemple 35880 et 35843 et ouvrir le port HTTPS (soit via le routage des ports de qnapcloud ou sur votre box/routeur directement)

toujours se connecter à votre interface depuis internet en HTTPS afin de crypter les trames réseaux
Mettre un certificat SSL Qnap ou lets Encrypt pour palier au message d'erreur de certificat non signé
ne jamais ouvrir HTTP.. et toutes les transactions doivent être cryptées en SSL de l'extérieur

HTTPS://mon_nom.myqnpacloud.com:<port_SSL> (https://monNAS.myqnapcloud.com:35843)

Toujours également utiliser un port SSH différent de 22 (si vous avez activé le protocole) ou le désactiver, ne pas le router si ce n'est pas nécéssaire

Menu Panneau de contrôle > Paramètres généraux > Telnet / SSH

Activez le bannissement des IP

Menu Panneau de contrôle > Sécurité > Protection d'accès des IP

activer SSH / TELNET /HTTP(s) /FTP

Mettre une règle

En 5 Minutes nombre de tentatives de connexion ayant échoué 3 Longueur du blocage de l'IP 1 heure

Si votre NAS est récent et en QTS 5, installez QuFirewall en autorisant que le connexion en provenance de France (ou affiner la règle si besoin)

toujours avoir son firmware et ses applications à jours... vous pouvez également le cas échéant désactiver admin, si ce n'est pas trop contraignant
 

Ben-

Apprenti
Les informations auraient été bien en avril 2020 ou avant janvier 2021. Même en ayant mis en places quelques règles sécuritaires il faut dire que ce sont vos fichus mise à jour qui étaient vérolés !
 
Haut Bas