Asustor Protégez-vous du rançongiciel Deadbolt

[shaks2022]

J'ai posé ma question à l' envers ?
je trouve pratique d'accéder à mes fichiers dans l'explorateur Windows. Et si je n'active pas SMB, je ne sais pas bien comment faire ?

bonjour
j'utilise le partage webdav sécurisé côté nas et raidrive côté Windows.
Et si on ouvre webdav à travers le routeur, ça fonctionne même en dehors de chez soi.

RaiDrive|Mount a Cloud Storage like a USB drive

Mount a Cloud Storage like a USB drive

www.raidrive.com

 

[marsusu]

Bonjour a tous, je viens de faire la mise a jour, donc pour rassuerer tout le monde , du moins dans mon cas , je n'ai pas perdu de volume.
il faut juste réinstaller certaines applications.
Par contre c'est un travail de fourmis de trouver les fichiers .deadbolt, quelqu'un a t-il une astuce pour tous les trouver et virer cette m.....? merci

Ps : par contre le nas est très très lent et ne réagi plus comme avant peut être la mise a jour ou autres?

 

[EVO]

Par contre c'est un travail de fourmis de trouver les fichiers .deadbolt, quelqu'un a t-il une astuce pour tous les trouver et virer cette m.....? merci

Salut,
Va voir ici : https://www.forum-nas.fr/threads/adm-4-0-4-rqo2.17756/#post-113778

 

[marsusu]

Merci, mais cela n'est pas a la portée de tout le monde........je regarderai si je trouve pas un tuto.
merci beaucoup

 

[shaks2022]

Merci, mais cela n'est pas a la portée de tout le monde........je regarderai si je trouve pas un tuto.
merci beaucoup

bonjour
oui, mais ce qui est proposé est déjà un tutoriel.
si tu n'es pas familier des commandes linux, tu trouveras des guides sur le net. par exemple : https://www.hostinger.fr/tutoriels/commandes-linux

 

[perplexe]

Est-ce qu'on sait s'il y a des modèles de NAS asustor spécifiques qui ont été infectés?
Car je n'ai pas été touché pourtant en raid 0 j'utilisais tous les ports par défaut; myasustor.com;SSH, rsync,ez-connect, sftp j'avais juste désactivé guest et admin mis firewall blocage automatique; et pour accéder à mon nas en local c'était par un ordinateur sous linux et je n'ai appris le souci que 3 jours après l'attaque.

 

[Khadath]

Je n'ai apparemment pas été touché et j'ai fais la dernière mise à jour corrigeant la faille. Mon nas est donc tranquille concernant deadbolt.
Pour les gens dans le même cas que moi, quand est ce qu'on peut espérer récupérer les accès myasustor / ezconnect.to ?

 

[julesvil]

Eh bien, je pense être un petit chanceux.
J'étais en vacances la semaine dernière, donc je n'ai pas suivi les forums, en arrivant ce matin je vois toute la communauté aux abois sur deadbolt, et j'ai eu la chance de constater que je suis passé au travers de cette attaque.

Pour info, je n'utilise/utilisais pas le service myasustor ni ezconnect. J'avais pourtant SSH activé, SFTP également et les ports web par défaut.

J'ai donc fait la dernière maj et tout désactivé et changé les ports 8000 et 8001.
Je peux donc maintenant revivre comme avant, ou suis-je toujours potentiellement vulnérable ?

 

[Dami1]

voir update des conseils de sécurité ici

 

[The Burgund]

quand est ce qu'on peut espérer récupérer les accès myasustor / ezconnect.to ?

Il est de nouveau actif depuis hier

 

[actarus]

Bonjour,

Je serai intéressé par la réponse des associations de défense des consommateurs. Dans mon cas le préjudice financier est probablement plus faible que pour une entreprise. Par contre le préjudice moral est immense. La question d'une action collective devra être posée.

Par ailleurs avez-vous été porter plainte contre X à la gendarmerie ? Avez-vous eu des retours de votre assurance ?

Enfin j'ai une question pour les experts : est-il possible que des données ait été volées ? Le cryptage c'est une chose mais si mes données devaient avoir été pomper ce serait encore pire.

Je remercie toutes les personnes qui contribuent et aident sur ce forum.

Concernant le vol des des donnés, seul asustor peut répondre car on se sait pas réellement si la faille a pu permettre aux pirates d'accéder aux droits admin ?
En ce qui concerne la perte des données, il en va de notre responsabilité personnel malheureusement, de mon point de vu.
On sait qu'aucun système d'exploitation est infaillible, nous avons pu voir ses derniers temps, tout un tas de tuto nous expliquant la règle du 3-2-1, que le raid est pas une sauvegarde.
Le mieux a mon sens si vous hebergez des données sensibles sur votre NAS, il faut qu'il soit alors inaccessible de l'extérieur.
Je tiens a préciser que je ne travail pas pour Asustor qu'il s'agit d'un avis d'un User.
J'ai moi même 3 NAS, de la marque (peut être un erreur de mettre ses oeufs dans le même panier) sur 3 deux qui sont passer au travers et un qui ne répond plus depuis l'attaque.
je respecte la règle 3-2-1, mais a mon sens elle n'est pas suffisante, car dans mon cas ayant 3 NAS de la même marque, j'aurais pu avoir le cryptage sur les 3.
Alors j'ai une petite technique, j'utilise un des rack en alternant deux disques un fois par semaine un jours fixe sur lequel je fais une sauvegarde des donnée perso, comme ça j'ai un disque avec un grosse partie des données, hors du NAS en mode myarchive lisible par un autre NAS.
Pour ma part je suis en train de revoir tout mon système sauvegarde car, la j'ai pu me rendre compte qu'il n'était pas au point.

 

[Kogoro]

Concernant le vol des des donnés, seul asustor peut répondre car on se sait pas réellement si la faille a pu permettre aux pirates d'accéder aux droits admin ?
En ce qui concerne la perte des données, il en va de notre responsabilité personnel malheureusement, de mon point de vu.
On sait qu'aucun système d'exploitation est infaillible, nous avons pu voir ses derniers temps, tout un tas de tuto nous expliquant la règle du 3-2-1, que le raid est pas une sauvegarde.
Le mieux a mon sens si vous hebergez des données sensibles sur votre NAS, il faut qu'il soit alors inaccessible de l'extérieur.
Je tiens a préciser que je ne travail pas pour Asustor qu'il s'agit d'un avis d'un User.
J'ai moi même 3 NAS, de la marque (peut être un erreur de mettre ses oeufs dans le même panier) sur 3 deux qui sont passer au travers et un qui ne répond plus depuis l'attaque.
je respecte la règle 3-2-1, mais a mon sens elle n'est pas suffisante, car dans mon cas ayant 3 NAS de la même marque, j'aurais pu avoir le cryptage sur les 3.
Alors j'ai une petite technique, j'utilise un des rack en alternant deux disques un fois par semaine un jours fixe sur lequel je fais une sauvegarde des donnée perso, comme ça j'ai un disque avec un grosse partie des données, hors du NAS en mode myarchive lisible par un autre NAS.
Pour ma part je suis en train de revoir tout mon système sauvegarde car, la j'ai pu me rendre compte qu'il n'était pas au point.

Personellement, j'ai appris (a l'époque où le Max c'était 500go) ce qu'était que avoir un double, j'ai tout perdu. Depuis, NAS + une sauvegarde externe sur disques dur externe. Ok c'est pas le plus pratique, faut les sortir, les brancher et lancer la sauvegarde mais sinon, dans un coffre, ya peu de risque. Le cloud c'est bien mais seulement si on a pas trop de données avec 15to de data, le cloud c'est mort sauf si tu est riche ?. La du coup, des disque externe ça fait l'affaire. Sinon, j'ai remis en route mon vieux NAS et mis des disque dur de récup dedans pour faire une seconde sauvegarde. Le NAS est seulement en local et je le démarre que pour les sauvegardes. Sinon ASUSTOR devrait bientôt communiquer le comment et par ou les hackers sont passés, fait juste encore attendre un peu ??

 

[julesvil]

Je pense qu'une des meilleures sécurités est d'activer la liste blanche dans ADM Defendeur, avec pour seules valeurs autorisées :
- une plage d'IP du réseau local (ex : 192.168.0.1 ~ 192.168.0.255) pour y avoir accès en local en permanence ;
- l'adresse IP de votre VPN si toutefois vous en avez un.

A ce moment là, je pense qu'on peut rétablir le service SSH par exemple. Est-ce que je me trompe ?

 

[Dami1]

Le mieux est de suivre TOUTES les bonnes pratiques dispensées depuis 2019 qui rejoignent à 99,99999% celles prodiguée par @FX Cachem sur Cachem.
Lisez et suivez nos conseils prodigués dans
- dans les communiqués de presse https://www.asustor.com/fr/news/news_detail?id=22695
- dans les newsletters (2 exemples parmi des paquet : https://asustor.bmeurl.co/B6D0C7B, https://s3.amazonaws.com/download.asustor.com/marketing/newsletter/HTML/Newsletter_141_FR.html
- dans le collège ASUSTOR https://www.asustor.com/fr/online/College_topic?topic=353 (version mise à jour en 03/2022, fichier créé en 2019)
Ceux qui ont suivi les bonnes pratiques n'ont pas été touchés.
Ceux qui n'ont pas suivi les bonnes pratiques sauf la sauvegarde et/ou les instantanés ont récupéré leurs données

 

[Labougie]

salut,
J'ai posé une lecture ici.

Si cela peut vous aidez

Labougie

 

[Drthrax74]

Merci, mais cela n'est pas a la portée de tout le monde........je regarderai si je trouve pas un tuto.
merci beaucoup

Bonjour,

Pour faire la commande, tu commences par aller dans le NAS puis dans service, onglet Terminal, tu l'actives
Ensuite tu ouvre l'invite de commande et tu tape la commande suivante pour te connecter.

ssh monlogin@IPduNAS

puis les commandes cité .

Si besoin MP moi.

Message automatiquement fusionné : 3 Avril 2022

Je pense qu'une des meilleures sécurités est d'activer la liste blanche dans ADM Defendeur, avec pour seules valeurs autorisées :
- une plage d'IP du réseau local (ex : 192.168.0.1 ~ 192.168.0.255) pour y avoir accès en local en permanence ;
- l'adresse IP de votre VPN si toutefois vous en avez un.

A ce moment là, je pense qu'on peut rétablir le service SSH par exemple. Est-ce que je me trompe ?

Bonjour,
Les adresses Locale est un excellent moyen de se prémunir, c'est ce qu'on appel une adresse Réseau suivis du Masque de sous réseaux ou CIDR.


Moi j'ai mis en exclusion:
192.168.1.0/24 (192.168.1.1-254 | 255.255.255.0)
192.168.2.0/24 (192.168.2.1-254 | 255.255.255.0) <= VPN

 

[marsusu]

Merci pour votre réponse , finalement j ai tout réinstallé et sauvegardé mes fichiers comme j ai pu

 

[Drthrax74]

Bonjour,
Pour la protection des données, fait une sauvegarde à froid et c'est bon.

 

[kaorentin]

Ce qui me dérange un peu dans cette histoire, c'est le paradoxe entre la surprotection et les promesses commerciales quand on achète ce type de matériel.
Ce que je veux dire par là, c'est que c'est facile de nous dire qu'il faut couper EZ-Connect, désactiver le SSH, interdire toutes les IP en dehors du réseau local, etc. alors qu'on nous vend quand même un appareil censé permettre d'avoir "toutes vos données disponibles partout, tout le temps".

Alors je sais bien qu'il faut mettre des process de sauvegardes, changer les mots de passe, etc. Mais bon, c'est quand même un peu facile après de dire ça.

Pour ma part, j'avais désactivé le compte admin, mis un mdp fort sur mon compte utilisateur, configuré ADM défender avec liste noire auto, mis en place une sauvegarde rsync sur un PC distant. Là où j'ai merdé et c'est ma faute, c'est que ma sauvegarde s'exécutait à chaque démarrage de mon PC. Quand j'ai démarré mon PC, il a écrasé tous les bons fichiers pour les remplacer par les cryptés...

J'ai malgré tout réussi à récupérer mes photos et vidéos justement en restaurant les fichiers effacés récemment sur mon PC avec un pti logiciel de récup. C'est le plus important.

Alors oui maintenant, j'ai mis en place la fameuse règle 3 2 1 en plus. Mais il ne faut pas oublier quand même qu'en tant qu'utilisateur "grand public", on pense pas forcément à tout (et on ne lit pas toutes les fiches de procédures existantes quand on a une utilisation pas extrêmement poussée) et on fait peut-être un peu trop confiance.

 

[shaks2022]

Ce qui me dérange un peu dans cette histoire, c'est le paradoxe entre la surprotection et les promesses commerciales quand on achète ce type de matériel.
Ce que je veux dire par là, c'est que c'est facile de nous dire qu'il faut couper EZ-Connect, désactiver le SSH, interdire toutes les IP en dehors du réseau local, etc. alors qu'on nous vend quand même un appareil censé permettre d'avoir "toutes vos données disponibles partout, tout le temps".

Alors je sais bien qu'il faut mettre des process de sauvegardes, changer les mots de passe, etc. Mais bon, c'est quand même un peu facile après de dire ça.

Pour ma part, j'avais désactivé le compte admin, mis un mdp fort sur mon compte utilisateur, configuré ADM défender avec liste noire auto, mis en place une sauvegarde rsync sur un PC distant. Là où j'ai merdé et c'est ma faute, c'est que ma sauvegarde s'exécutait à chaque démarrage de mon PC. Quand j'ai démarré mon PC, il a écrasé tous les bons fichiers pour les remplacer par les cryptés...

J'ai malgré tout réussi à récupérer mes photos et vidéos justement en restaurant les fichiers effacés récemment sur mon PC avec un pti logiciel de récup. C'est le plus important.

Alors oui maintenant, j'ai mis en place la fameuse règle 3 2 1 en plus. Mais il ne faut pas oublier quand même qu'en tant qu'utilisateur "grand public", on pense pas forcément à tout (et on ne lit pas toutes les fiches de procédures existantes quand on a une utilisation pas extrêmement poussée) et on fait peut-être un peu trop confiance.

D'un côté tu as raison, de l' autre, internet ressemble de plus en plus à une zone de guerre. C'est un peu comme la promesse commerciale de pouvoir 'découvrir le monde' au volant de ta nouvelle bagnole.... Ya quelques pays qu'il ne vaut mieux pas visiter en ce moment, et c'était pas forcément prévu comme ça au moment où tu as acheté ta bagnole...