Bonjour,
Je vais vous exposer la situation car ce n'est pas simple.
Un ami a acquis il y a un an environ un TS 451, qu'il a équipé de deux disques de 6To, et ce essentiellement à des fins de stockage de fichiers.
Il ne s'y connait pas vraiment en informatique et a fait faire l'installation et le paramétrage par un de ses ami informaticien de métier.
Il y a une semaine, il m'appelle en me demandant de regarder si je pouvais me connecter car lui ne le pouvais plus. Après quelques essais, je tente le mot de passe par défaut du compte admin, miracle, je me connecte. Je consulte les logs pour me rendre compte que le NAS s'est reinitialisé de lui même:
Hier, il me rappelle et me dit que rebelote, il n'arrive plus a se connecter. Encore une fois le NAS s'est restauré au valeurs d'usine, sauf qu'en consultant les connexions active, je me rend compte qu'un Ukrainien, un Chinois et un Américain (d'après les IP) sont connectés sous admin.
Pas de panique, je crée un autre utilisateur avec les pleins pouvoirs, je me delog, je me relog sous ce nouvel utilisateur, je désactive le compte admin et je kick tout le monde.
Ensuite je met en route l'enregistrement des connexions, et je me rend compte que quelqu'un essaie de se logger en SSH en utilisant le compte admin.
Je demande alors à mon ami ses codes de box, et la je vois plein ports ouverts vers le NAS (22,443,8080,21, etc), hop, je supprime tout pour arrêter les connexions entrantes sur le NAS et ainsi le mettre en "quarantaine".
Après tout ça, je me penche sur la configuration du NAS pour me rendre compte qu'aucune protection n'est active.
Bref, toute une épopée.
J'en viens donc à ce qui m'amène ici, si je n'ai pas déjà perdu mon public
Ne pouvant être certain qu'aucun fichier système du NAS ne soit altérés, ou encore qu'un ou plusieurs scripts malicieux n'ai été transférés, je souhaiterais savoir si il est possible de réinstaller le système d'exploitation sans toucher aux données que mon ami à déjà transférées dans le NAS, parce qu'il y a déjà au bas mot 5To.
D'après quelques recherches, cela ne semble pas forcement possible.
Merci d'avance pour vos lumières et merci de m'avoir lu jusqu'au bout
Je vais vous exposer la situation car ce n'est pas simple.
Un ami a acquis il y a un an environ un TS 451, qu'il a équipé de deux disques de 6To, et ce essentiellement à des fins de stockage de fichiers.
Il ne s'y connait pas vraiment en informatique et a fait faire l'installation et le paramétrage par un de ses ami informaticien de métier.
Il y a une semaine, il m'appelle en me demandant de regarder si je pouvais me connecter car lui ne le pouvais plus. Après quelques essais, je tente le mot de passe par défaut du compte admin, miracle, je me connecte. Je consulte les logs pour me rendre compte que le NAS s'est reinitialisé de lui même:
N'ayant pas trop le temps ce jour la de fouiller, on redéfini un autre mot de passe, différent de celui qu'il utilisait et basta.
Hier, il me rappelle et me dit que rebelote, il n'arrive plus a se connecter. Encore une fois le NAS s'est restauré au valeurs d'usine, sauf qu'en consultant les connexions active, je me rend compte qu'un Ukrainien, un Chinois et un Américain (d'après les IP) sont connectés sous admin.
Pas de panique, je crée un autre utilisateur avec les pleins pouvoirs, je me delog, je me relog sous ce nouvel utilisateur, je désactive le compte admin et je kick tout le monde.
Ensuite je met en route l'enregistrement des connexions, et je me rend compte que quelqu'un essaie de se logger en SSH en utilisant le compte admin.
Je demande alors à mon ami ses codes de box, et la je vois plein ports ouverts vers le NAS (22,443,8080,21, etc), hop, je supprime tout pour arrêter les connexions entrantes sur le NAS et ainsi le mettre en "quarantaine".
Après tout ça, je me penche sur la configuration du NAS pour me rendre compte qu'aucune protection n'est active.
Bref, toute une épopée.
J'en viens donc à ce qui m'amène ici, si je n'ai pas déjà perdu mon public
Ne pouvant être certain qu'aucun fichier système du NAS ne soit altérés, ou encore qu'un ou plusieurs scripts malicieux n'ai été transférés, je souhaiterais savoir si il est possible de réinstaller le système d'exploitation sans toucher aux données que mon ami à déjà transférées dans le NAS, parce qu'il y a déjà au bas mot 5To.
D'après quelques recherches, cela ne semble pas forcement possible.
Merci d'avance pour vos lumières et merci de m'avoir lu jusqu'au bout
