首页 > Ai资讯 > Ai教程 > 【转载】群晖Nas系统的后门分析!以及如何去除Synology后门程序

【转载】群晖Nas系统的后门分析!以及如何去除Synology后门程序

发布时间:2024年06月19日

Synowedjat是Synology的一个后门程序,无论您使用的是否为正版设备,也就意味着无论你是购买的正品群晖Nas,还是安装的黑裙,都会有这个程序,因为在检查软件包更新时都会从服务器下载并执行。它的工作流程如下:

  1. 当后台服务检查更新时,会调用”synopkg chkupgradepkg”命令。
  2. “synopkg chkupgradepkg”命令开始执行Synowedjat-exec。
  3. Synowedjat-exec会:
    • 将硬件信息上传到account.synology.com/wedjat
    • 下载并解压含有后门的synology档案synowedjat.sa
    • 运行主二进制文件”synowedjat”
  4. Synowedjat有以下几种模式:
    • 调试模式,由argv[1]控制
      • “collect”和”collect-enc”将主机详细信息上传给Synology服务器
    • “punish”模式会重置登录页面背景,发送盗版通知
    • “protection”为默认模式
      • 运行/run/ai_tool.cpython-38.pyc使用”Active Insight”套件
      • 定期将主机信息上传至Synology服务器
      • 根据服务器响应进入”punish”模式

为了移除该后门程序,建议采取以下步骤:

  1. 停止Synowedjat进程:killall -KILL synowedjat
  2. 删除软件包:rm /run/synowedjat*
  3. 删除配置文件:rm /usr/syno/etc/wedjat.status
  4. 删除”Active Insight”套件

并执行下面操作

Plain text
Copy to clipboard
Open code in new window
EnlighterJS 3 Syntax Highlighter
echo 127.0.0.1 account.synology.com >> /etc/hosts
echo 127.0.0.1 dlid.synology.com >> /etc/hosts
echo 127.0.0.1 account.synology.com >> /etc/hosts
echo 127.0.0.1 dlid.synology.com >> /etc/hosts
echo 127.0.0.1 account.synology.com >> /etc/hosts
echo 127.0.0.1 dlid.synology.com >> /etc/hosts

当然为了安全起见,可以选择其它品牌的Nas,更何况现在的群晖压根就没有性价比,价格高的离谱,却给的垃圾配置!

 

文章内容来自:

https://xpenology.com/forum/topic/68080-synology-backdoor/

如果你想要了解关于智能工具类的内容,可以查看 智汇宝库,这是一个提供智能工具的网站。
在这你可以找到各种智能工具的相关信息,了解智能工具的用法以及最新动态。