【转载】群晖Nas系统的后门分析！以及如何去除Synology后门程序

Synowedjat是Synology的一个后门程序,无论您使用的是否为正版设备,也就意味着无论你是购买的正品群晖Nas，还是安装的黑裙，都会有这个程序，因为在检查软件包更新时都会从服务器下载并执行。它的工作流程如下:

1. 当后台服务检查更新时,会调用”synopkg chkupgradepkg”命令。
2. “synopkg chkupgradepkg”命令开始执行Synowedjat-exec。
3. Synowedjat-exec会:
   • 将硬件信息上传到account.synology.com/wedjat
   • 下载并解压含有后门的synology档案synowedjat.sa
   • 运行主二进制文件”synowedjat”
4. Synowedjat有以下几种模式:
   • 调试模式,由argv[1]控制
     • “collect”和”collect-enc”将主机详细信息上传给Synology服务器
   • “punish”模式会重置登录页面背景,发送盗版通知
   • “protection”为默认模式
     • 运行/run/ai_tool.cpython-38.pyc使用”Active Insight”套件
     • 定期将主机信息上传至Synology服务器
     • 根据服务器响应进入”punish”模式

为了移除该后门程序,建议采取以下步骤:

1. 停止Synowedjat进程:killall -KILL synowedjat
2. 删除软件包:rm /run/synowedjat*
3. 删除配置文件:rm /usr/syno/etc/wedjat.status
4. 删除”Active Insight”套件

并执行下面操作

echo 127.0.0.1 account.synology.com >> /etc/hosts
echo 127.0.0.1 dlid.synology.com >> /etc/hosts

当然为了安全起见，可以选择其它品牌的Nas，更何况现在的群晖压根就没有性价比，价格高的离谱，却给的垃圾配置！

文章内容来自：

https://xpenology.com/forum/topic/68080-synology-backdoor/

如果你想要了解关于智能工具类的内容，可以查看 智汇宝库，这是一个提供智能工具的网站。
在这你可以找到各种智能工具的相关信息，了解智能工具的用法以及最新动态。