Asustor Ceux qui n'ont pas été touché par DeadBolt ?

[Loic.L]

Bonjour,

Perso j'ai arrêté mon NAS (AS4004T) le matin de l'annonce, donc trop tard comme beaucoup...
J'ai redémarré ce matin et je ne constate aucun problème, pas de fichier deadbolt. J'ai néanmoins tout verrouillé en attendant de comprendre !

Mon NAS est derrière un routeur ASUS AX88U, lui-même derrière une livebox, mon compte Admin était renommé, mot de passe fort + double authentification. Avant l'attaque beaucoup de ports étaient ouverts, Admin à distance, serveurs Web, FTP, EZ-connect activé,... (pas SSH je ne sais pas m'en servir...)

Du coup je ne comprends pas bien comment j'ai pu y échapper...
Quelle est la proportion de NAS touchés ?

Bon courage à ceux qui se débattent avec ce problème, j'espère que vous pourrez tout récupérer.
Je retiens l'expérience... je n'avais aucune sauvegarde du NAS, donc je vais en faire !

A+
Loic

 

[shaks2022]

bonjour
je possède également 2 nas asustor, l'un en backup de l'autre, situé dans 2 immeubles différents.
Aucun n'a été touché malgré adm+webdav+openvpn+ssh+rsync ouverts sur des ports custom.
pas de ez-connect ni de upnp, et utilisation d'un nom de domaine hors asustor pour le nas principal.
admin avec mot de passe fort,ssh avec échange de clés, geoblocage hors Europe, liste noire augmentée au max ( 5 jours de ban après peu de tentatives) après avoir constaté des tentatives il y a quelques mois.
maj du dernier firmware ok.

 

[Starwalker]

je possède un NAS AS6202T relié directement à une freebox delta, avec double authentification, ports ouverts pour le serveur web et ssl ainsi que le portal avec les ports par défaut et je n'ai pas été touché, je pense sincérement que la double authentification a surement bien aidé et je n'ai jamais activé EZ connect depuis que j'ai ce NAS, ceci explique peut être cela

 

[JacquesNAS]

Déjà bravo d'avoir pensé à ouvrir ce fil ; cela permet d'identifier les cas qui ont freiné ou bloqué l'attaque ; cela pourra servir aux autres et vos retours d'expérience alimente entre nous nos convictions que nos Infra ne soit pas touchées également.

Donc, à ce stade, je crois pouvoir dire que l'attaque n'est pas arrivé jusqu'à mon NAS ... mais comment l'affirmer avec certitude ? En guise de vérification, j'ai recherché des noms de repos ou de fichiers se terminant en "deadBolt" mais est-ce suffisant et probant ?

Quand je suis tombé au hasard sur l'info de l'attaque, j'ai sauté sur mon smartphone pour arrêter le NAS en sacrifiant mon records d'uptime en cours, dans la nuit du 22 au 23/02/2022 si je ne me trompe pas.

Sans révéler trop mon architecture, seul les ports 80 et 443 sont exposés ; je ne sais pas faire moins mais pourquoi faire plus ? Ces flux arrivent sur un serveur proxy avant d'attaquer les services backend du NAS. Peut être que cette originalité m'aura éviter l'attaque ?

Depuis mardi, je n'ai rallumé le NAS que hier, 26/02/2022 en ayant débranché le cordon d'accès internet de la box ou du routeur (hé hé, je laisse une petite ambiguïté architecturale qui ne change pas grand chose ... mais nous sommes en guerre).

Ce démarrage pour faire la recherche déjà évoquée
puis pour monter la version d'ADM avec le fichier téléchargé par un PC : X64_G3_4.0.4.RQO2.img
puis pour mettre ransomware_1.0.0.r0_any.apk mais je n'ai pas compris comment exploiter ce package une fois installé.
Puis j'ai changé les ports ADM comme indiqué dans les préconisations.

Et c'est tout. Le NAS est de nouveau off. Puis j'ai rebranché le cordon d'accès Internet.

Et j'attends. Je ne sais pas quand je pourrai redémarrer le NAS en le reliant à l'Internet sans risquer d'être la prochaine victime. Je suis trè frileux vous l'aurez compris ; en effet, je n'ai pas de sauvegarde de mes data (C'est mal je sais) donc je suis en mode prudence excessive et bunkerisation en attendant l'armistice. Si vous savez où il y a une checkliste qui me permettrait de décider ou non de revenir "on line", je suis très intéressé.

Bon courage à tous.

 

[Loic.L]

puis pour mettre ransomware_1.0.0.r0_any.apk mais je n'ai pas compris comment exploiter ce package une fois installé.

J'ai cru comprendre que cette application n'était utile qu'à ceux qui avaient été touché...

A+
Loïc

 

[JacquesNAS]

Merci Loïc.

Il me reste à mettre la main sur le mode opératoire pour déterminer définitivement si un NAS est touché ou non.

 

[shaks2022]

Merci Loïc.

Il me reste à mettre la main sur le mode opératoire pour déterminer définitivement si un NAS est touché ou non.

bonjour
Depuis un terminal, utiliser la commande

find / -iname \*deadbolt\*

Si ça renvoie rien, c'est tout bon. sinon, t'auras la liste des fichiers attaqués par le ransonware
Perso, j'ai déjà tout remis en ligne après avoir mis mes sauvegardes offline à jour.

 

[JacquesNAS]

Euh juste ca ? Ca me parait trop simple.... mais si on a que ca, je vais m'y tenir. Merci shaks2022.

Quand saurons nous que l'attaque est terminée ?
L'installation de la dernière version ADM, X64_G3_4.0.4.RQO2.img, permet il de bloquer l'attaque ?

 

[shaks2022]

Euh juste ca ? Ca me parait trop simple.... mais si on a que ca, je vais m'y tenir. Merci shaks2022.

Quand saurons nous que l'attaque est terminée ?
L'installation de la dernière version ADM, X64_G3_4.0.4.RQO2.img, permet il de bloquer l'attaque ?

l'attaque sera terminée quand tout le monde sera passé à la version 4.04 rq02, puisque celle-ci a été publiée dans le but de nous protéger de l'attaque en cours.
cela ne signifie pas qu'elle va nous protéger de TOUTES les attaques à venir.. c'est le jeu du chat et de la souris. Mais amha, la meilleure solution, c'est de suivre les préconisations d'Asustor puis de remettre en ligne,sinon tout le monde reste offline et on ne saura pas si ce firmware tient le choc.

Message automatiquement fusionné : 28 Février 2022

Bonjour
C'est juste pour préciser le paramétrage que j'ai adopté pour la liste noire automatique il y a quelques mois quand j'ai constaté des tentatives de login sur mon NAS. Par défaut il y a quelques mois, c'était bien moins restrictif que ça . ( Asustor a peut-etre rectifié le tir sur les versions d'ADM plus récentes ).


C'est peut être ça qui m'a sauvé la mise...

 

[Loic.L]

Bonjour,

Il serait intéressant qu'un spécialiste nous dise :
- Si la double authentification sert à quelque chose dans ce type d'attaque.
- Si la liste noire par blocage de pays/continents est utile ?

Merci.
Loïc