Pas de GIF aujourd’hui, plutôt un article destinés à mes confrères fans de NAS suite au fait que Dell resort un lièvre concernant du minage de Dogecoins non autorisé sur Synology.
Voici l’article sur le site d’HP.
Plusieurs choses sont assez intéressantes, d’abord on y apprends que les Synology ont certainement été ciblés via la méthode Quickconnect de Synology qui permet d’utiliser rapidement son Synology depuis une redirection du type : exemple.synology.com
Ce système rends évidement facile la vie de n’importe quel script kiddie. Rien qu’en essayant à la main, je suis rapidement tombé sur quelques exemples faciles à trouver via Google :
http://aaron.synology.me
http://barus.synology.me
http://bigsmileyface.synology.me
Ensuite, si le port 5000 (gestion Synology) est ouvert vers l’extérieur, un mineur CPU sera installé sur le Syno qui deviendra évidement très lent et verra son taux d’occupation CPU grimper bien plus haut qu’habituellement.
Synology à communiqué sur le sujet il y a quelques mois, et à sorti des mises à jour de DSM qui empêchent l’installation de ce mineur indiscret. Entre temps, on estime que 600.000$ de Dogecoins ont été minés par les auteurs du programme. Joli.
Afin de vérifier si vous êtes infectés à priori il suffit de se connecter en ssh et d’effectuer un simple :
top -n5 | grep PWNED
(L’option -n5 permet d’executer seulement 5 fois le top qui par défaut tourne en boucle jusqu’à arrêt manuel)
Le top ne devrait rien vous retourner, en revanche s’il vous retourne un processus sortant vers l’ip 46.244.18.176 sur le port 9555, mauvaise nouvelle … Dans ce cas mettez à jour votre Synology ou suivez ce thread qui fait office de référence sur ce sujet.
Allez vous avez tout lu, un petit gif quand même !