2
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

DeadBoltにやられたNASの復旧(仮復旧編)

Last updated at Posted at 2022-09-04

はじまり

ある日のこと。なんやかんや色々あって(?)実家のQNAP TS-453Dのデータにアクセスができないことが発覚しました。Web管理画面を開くと、例の要求ページ(ググれば出てきます、今年の6月頃から出回り始めた新型っぽい?)が出てきたそうな。スナップショットはあるので復旧をやってほしいと頼まれたので、作業ログも兼ねて記事にすることにしました。
ちなみにこんな画面です。地味に背景にアニメーション効いてるのがムカつきますね。
2022-09-04 21.50.12 192.168.0.2 e17d858b9071.png

本記事でやることと目標

スナップショットが存在している前提です。
まずはLAN内からファイルアクセスができることを目指します。
完全な復旧は後編(後述しますがスナップショットのエクスポートしてからにしたい)でやります。

環境と現状

機種: QNAP TS-453D
ファームウェアバージョン: 確認時点で5.0.0.2131、ただし引き渡し前は4系だったらしく、初期消火の段階でアップデートした模様
スナップショットの有無: あり
HTTP経由のアクセス: 聞いている話では内部ネットワークのみ(少なくとも外部にポート開放するような作業はせず、外部から入りたいときは別途VPN越しにアクセスしてた模様)

初期消火

発覚時点では管理画面へのアクセスはできたので、スナップショットを復元した後一般に言われているUPnPの設定等々施した後放置。
翌日になって管理画面へのアクセスもできなくなっており、adminとその他管理権を持っているユーザのパスワードも変更されていたとのこと。その後私に引き渡し。

作業

現状を何となく把握

まずはネットワークから隔離した場所で起動して、モニタに繋いで確認。QTSの画面を開くとおなじみ脅迫画面さん。Adminパスワードもダメっぽいので、まずは基本システムのリセットから試します。リセット実施により、引き渡され前の設定は全て飛びます、ヨシ。

基本システムリセットを試す

まずはマニュアルさんの確認
システムリセットと工場出荷時設定への復元
Adminパスワードのリセットを目的に行います。

その間暇なので後で動作確認なりSSHするための隔離ネットワークを準備しておきます。

基本システムのリセットが完了して、GUIのログイン画面が出たらAdminを指定して、初期なパスワードを入力します。ファームウェアバージョンにより違うので注意してください。参考

ちなみにこの段階でWebUIからのログインもできます。
http://xxx.xxx.xxx.xxx:8080/cgi-bin/index.cgiで脅迫ページスルーしてログイン画面になります。めんどくさいことは確かですが何のための脅迫ページなんですかね

SSH接続(今回は何もしてないです)

とりあえず隔離LANにNASとPCの接続ができたらSSHします。お馴染み

ssh admin@[HostIP]

です。
スクリーンショット 2022-09-04 213625.png
シェルはどうやって入るのかメニューとにらめっこしますが、この中には書いてありません。
正解はQで画面から抜け、yで確認画面からも抜けること、です。するとシェルの画面が出ます。
/home/httpd配下のindex.htmlがおそらく改変された脅迫ページです。一緒にあるindex.html.bakがオリジナルである、という記事はよく見かけるのですが、mvで戻しても効果が見られず。。。
まずは後回しにして、他のところから触ります。

なんとなく遊んでた、すっかり忘れたけど次回は覚えていたらunameとか叩いてみたいです(?
スクリーンショット 2022-09-04 220328.png

旧アカウントのパスワード変更とadmin無効化

adminユーザーを無効化できますか?を見ながら実施します。

myQNAPcloudLinkの除去->結局入れ直した

何を考えたかmyQNAPcloudLinkを消してしまい、UPnPの設定も何もできなくなってしまっていたので、入れ直しました。

やったこと

  • myQNAPcloud Linkをoffに
  • Enable My DDNSをoffに

考えたけど試してないこと

  • QTS再インストール

後編では何やるの

  1. スナップショットのエクスポートをします。
    これも今日やってそのまま後の工程もやりたかったのですがエクスポート先となるHDDが無かったので発注しました。なので待機!
  2. システムリセットと工場出荷時設定への復元より、高度なシステムリセットを行います。
  3. WebUI問題なく動くか確認する。ダメならまたその時考えます。
  4. 各種設定を戻す
  5. ヤバげな設定が無いか確認

その他

  • ログは確認したけどぱっとわかる範囲では謎。もう少し調査したい気持ちがある。
  • 改ざんされた/home/httpd/index.htmlの中身(ごく一部)
    エスケープされた文字がずらり。特に確認はしていませんが、なかなか気合が入ってました(?
    image.png
  • myQNAPcloudLink君、意外と凶悪な初期設定してるなぁなどと思いました。

参考リンク

2
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
2
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?