【转载】群晖Nas系统的后门分析!以及如何去除Synology后门程序
发布时间:2024年06月19日
Synowedjat是Synology的一个后门程序,无论您使用的是否为正版设备,也就意味着无论你是购买的正品群晖Nas,还是安装的黑裙,都会有这个程序,因为在检查软件包更新时都会从服务器下载并执行。它的工作流程如下:
- 当后台服务检查更新时,会调用”synopkg chkupgradepkg”命令。
- “synopkg chkupgradepkg”命令开始执行Synowedjat-exec。
- Synowedjat-exec会:
- 将硬件信息上传到account.synology.com/wedjat
- 下载并解压含有后门的synology档案synowedjat.sa
- 运行主二进制文件”synowedjat”
- Synowedjat有以下几种模式:
- 调试模式,由argv[1]控制
- “collect”和”collect-enc”将主机详细信息上传给Synology服务器
- “punish”模式会重置登录页面背景,发送盗版通知
- “protection”为默认模式
- 运行/run/ai_tool.cpython-38.pyc使用”Active Insight”套件
- 定期将主机信息上传至Synology服务器
- 根据服务器响应进入”punish”模式
- 调试模式,由argv[1]控制
为了移除该后门程序,建议采取以下步骤:
- 停止Synowedjat进程:
killall -KILL synowedjat
- 删除软件包:
rm /run/synowedjat*
- 删除配置文件:
rm /usr/syno/etc/wedjat.status
- 删除”Active Insight”套件
并执行下面操作
echo 127.0.0.1 account.synology.com >> /etc/hosts
echo 127.0.0.1 dlid.synology.com >> /etc/hosts
echo 127.0.0.1 account.synology.com >> /etc/hosts
echo 127.0.0.1 dlid.synology.com >> /etc/hosts
echo 127.0.0.1 dlid.synology.com >> /etc/hosts
echo 127.0.0.1 account.synology.com >> /etc/hosts echo 127.0.0.1 dlid.synology.com >> /etc/hosts
当然为了安全起见,可以选择其它品牌的Nas,更何况现在的群晖压根就没有性价比,价格高的离谱,却给的垃圾配置!
文章内容来自:
https://xpenology.com/forum/topic/68080-synology-backdoor/
如果你想要了解关于智能工具类的内容,可以查看 智汇宝库,这是一个提供智能工具的网站。
在这你可以找到各种智能工具的相关信息,了解智能工具的用法以及最新动态。
一个创新的人工智能体框架,CrewAI将尖端工具的优势与其自身独特的增强功能相结合,使用户能够轻松创建复杂而强大的自动化AI智能体。