50l3r Posted May 11, 2019 #1 Posted May 11, 2019 Buenas tardes foreros, Estoy teniendo un problema grave. No se como se ha colado un malware que crea procesos bajo el "Programador de tareas" y utiliza el 100% de la CPU: Los nombres de los procesos suelen cambiar. Si cierras el proceso y borras el archivo se vuelve a crear otro fichero y vuelve a utilizar la cpu. He pasado el antivirus y lo pilla y pone en cuarentena, pero claro, nada mas actuar vuelve a generarse otro fichero infectado. Alguna solucion? Quote
bluesnow Posted May 13, 2019 #2 Posted May 13, 2019 Hola, lo primero que debes hacer, sino lo has hecho ya, es bloquear todos los servicios que permitan la entrada al sistema desde Internet. es decir el propio DSM, ssh, ftp, etc. Seguidamente, cambiar todas las contraseñas de usuarios administradores del NAS, o incluso deshabilitarlos y crear uno nuevo antes. Y por último tendrás que hacer un seguimiento de que archivos se infectan, si se crean en carpetas compartidas, o no. En ese caso deshabiltar permisos, para saber si la infección viene de dentro del NAS o algún usuario de la red que accede a la carpeta compartida. Revisa esto y nos cuentas. Saludos Quote
50l3r Posted May 13, 2019 Author #3 Posted May 13, 2019 Finalmente he optado por actualizar a la 6.2 y eliminarlo de raiz. Tenia activado y bien configurado el firewall. SSH solo en local, y servicios recortados solamente a ip's españolas. He visto que el malware se metia en el programador de tareas como proceso. Consegui pillar un archivo que mandaba codigo malicioso desde un subdominio de ngrok.io pero al parecer habia mas cosas de por medio. Lo dicho, por falta de tiempo para investigar, voy a formatear, dado que encima voy a meter una interfaz de red mas que me llega hoy Quote
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.