天气与日历 切换到宽版
扫描二维码关注官方公众号
返回列表 发布新帖

[讨论/分享] Synology的后门(转)

5009 15
发表于 2023-3-18 21:44:02 | 显示全部楼层 阅读模式

来吧兄弟,一起玩一起讨论!

您需要 登录 才可以下载或查看,没有账号?注册

×
本帖最后由 bolk001 于 2023-3-18 21:45 编辑

Synowedjat是Synology的后门。检查包更新时,无论您是否使用正版Synology设备,都会从服务器下载并执行包更新。强烈建议将其移除。

明确地:
1.后台服务检查更新时,调用“synopkg chkupgradepkg”
2.“synopkg chkupkg”启动synowedjat-exec
3.synowedjat-exec公司
-将硬件信息上传至account.synology.com/wedjat
-下载并解压缩synowedjat.sa,一个包含后门的synology档案
-运行主二进制文件“synowedjat protection”
4.synowedjat有几种模式
-调试模式(由argv[1]控制)
-“collect”和“collect-ec”以明文或加密的形式将一组全面的主机信息上传到synology的服务器
-“惩罚”会重置登录页面的背景,并发送盗版通知
-“保护”是默认模式
-定期运行/run/ai_tool.cpython-38.pyc来玩弄“Active Insight”软件包设置
-将一组全面的主机信息上传到synology的服务器
-根据服务器的响应进入“惩罚”模式

建议:
1.停止进程:killall-KILL synowedjat
2.删除程序包:rm/run/synowedjat*
3.删除配置:rm/usr/syno/etc/wedjat.status
4.删除“Active Insight”包
5.由于synowedjat-exec与操作系统捆绑在一起,请不要删除它。相反,请编辑/etc/hosts以禁用对account.synology.com和dlid.synology的访问


套件Active Insight千万别装。
转自xpenology.com
如不合论坛要求,请版主删除。
该会员没有填写今日想说内容.

评论15

gcafrkLv.8 发表于 2023-3-18 22:11:46 | 显示全部楼层
Recommendations:
1. Stop the processes: killall -KILL synowedjat
2. Remove the package: rm /run/synowedjat*
3. Remove the configuration: rm /usr/syno/etc/wedjat.status
4. Remove the "Active Insight" package
5. Since synowedjat-exec is bundled with the OS, do not remove it. Instead, edit /etc/hosts to disable the access to account.synology.com and dlid.synology.com
回复 点赞

使用道具 举报

积木旭Lv.3 发表于 2023-3-19 00:46:28 | 显示全部楼层
大佬  我试了一下 群辉6.23 没找到这个服务   是不是只有7.0以上的群辉 才有啊  
回复 点赞

使用道具 举报

小飞侠赞助42℃互助团队 发表于 2023-3-19 10:09:00 | 显示全部楼层
难道是为了区分黑白?
回复 点赞

使用道具 举报

laddieLv.3 发表于 2023-3-19 21:29:15 | 显示全部楼层
用命令吗?
回复 点赞

使用道具 举报

xcgfLv.4 发表于 2023-3-20 09:52:18 来自手机 | 显示全部楼层
怎么操作  输入进去出错
回复 点赞

使用道具 举报

Bond007Lv.8 发表于 2023-3-20 12:00:05 | 显示全部楼层
厉害了,回家就去搞搞
回复 点赞

使用道具 举报

shidousanLv.4 发表于 2023-3-21 09:04:56 | 显示全部楼层
留个脚印继续观察,谢谢分享
回复 点赞

使用道具 举报

lastkissLv.3 发表于 2023-3-21 09:32:52 | 显示全部楼层
关注,等详细步骤
回复 点赞

使用道具 举报

cyokvipLv.3 发表于 2023-3-21 13:21:49 | 显示全部楼层
卧槽,为啥最近出来好多后门啊
回复 点赞

使用道具 举报

LimpoLv.3 发表于 2023-3-21 15:52:57 | 显示全部楼层
报告一下:
我的黑群 7.1.1-42962 On VMWare ESXi
系统中没有 synowedjat 进程在运行;
磁盘没有 /run/synowedjat* 相关文件和文件夹;
有 /usr/syno/etc/wedjat.status 文件,已删除;
有 Active Insight 套件,已删除。
我也没有synowedjat进程 
发表于 2023-3-22 13:11
回复 点赞

使用道具 举报

oldthree_xmLv.10 发表于 2023-3-21 16:40:21 | 显示全部楼层
找个时间查一下,
回复 点赞

使用道具 举报

花果山凤鹅VIPLv.10 发表于 2023-3-21 17:11:29 | 显示全部楼层
学习了,感谢分享
回复 点赞

使用道具 举报

samsumLv.4 发表于 2023-3-23 11:13:05 | 显示全部楼层
基本上都有后门,不管是作为哪种用途,能查的到就一定要关闭
回复 点赞

使用道具 举报

LimpoLv.3 发表于 2023-3-26 03:44:14 | 显示全部楼层
似乎删除 wedjat.status 文件还能自己生成
回复 点赞

使用道具 举报

回复

懒得打字嘛,点击右侧快捷回复 【本站酷狼4T,750元】
您需要登录后才可以回帖 登录 | 注册

本版积分规则

投诉/建议联系

support@gebi1.cn

未经授权禁止转载,复制和建立镜像,
如有违反,追究法律责任
  • 关注公众号
  • 添加微信客服
Copyright © 2001-2024 隔壁网 版权所有 All Rights Reserved. 粤ICP备14056481号-1
关灯 快速发帖
扫一扫添加微信客服
返回顶部
快速回复 返回顶部 返回列表