50l3r Posted May 11, 2019 Share #1 Posted May 11, 2019 Buenas tardes foreros, Estoy teniendo un problema grave. No se como se ha colado un malware que crea procesos bajo el "Programador de tareas" y utiliza el 100% de la CPU: Los nombres de los procesos suelen cambiar. Si cierras el proceso y borras el archivo se vuelve a crear otro fichero y vuelve a utilizar la cpu. He pasado el antivirus y lo pilla y pone en cuarentena, pero claro, nada mas actuar vuelve a generarse otro fichero infectado. Alguna solucion? Quote Link to comment Share on other sites More sharing options...
bluesnow Posted May 13, 2019 Share #2 Posted May 13, 2019 Hola, lo primero que debes hacer, sino lo has hecho ya, es bloquear todos los servicios que permitan la entrada al sistema desde Internet. es decir el propio DSM, ssh, ftp, etc. Seguidamente, cambiar todas las contraseñas de usuarios administradores del NAS, o incluso deshabilitarlos y crear uno nuevo antes. Y por último tendrás que hacer un seguimiento de que archivos se infectan, si se crean en carpetas compartidas, o no. En ese caso deshabiltar permisos, para saber si la infección viene de dentro del NAS o algún usuario de la red que accede a la carpeta compartida. Revisa esto y nos cuentas. Saludos Quote Link to comment Share on other sites More sharing options...
50l3r Posted May 13, 2019 Author Share #3 Posted May 13, 2019 Finalmente he optado por actualizar a la 6.2 y eliminarlo de raiz. Tenia activado y bien configurado el firewall. SSH solo en local, y servicios recortados solamente a ip's españolas. He visto que el malware se metia en el programador de tareas como proceso. Consegui pillar un archivo que mandaba codigo malicioso desde un subdominio de ngrok.io pero al parecer habia mas cosas de por medio. Lo dicho, por falta de tiempo para investigar, voy a formatear, dado que encima voy a meter una interfaz de red mas que me llega hoy Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.