Synology的后门(转)
本帖最后由 bolk001 于 2023-3-18 21:45 编辑Synowedjat是Synology的后门。检查包更新时,无论您是否使用正版Synology设备,都会从服务器下载并执行包更新。强烈建议将其移除。
明确地:
1.后台服务检查更新时,调用“synopkg chkupgradepkg”
2.“synopkg chkupkg”启动synowedjat-exec
3.synowedjat-exec公司
-将硬件信息上传至account.synology.com/wedjat
-下载并解压缩synowedjat.sa,一个包含后门的synology档案
-运行主二进制文件“synowedjat protection”
4.synowedjat有几种模式
-调试模式(由argv控制)
-“collect”和“collect-ec”以明文或加密的形式将一组全面的主机信息上传到synology的服务器
-“惩罚”会重置登录页面的背景,并发送盗版通知
-“保护”是默认模式
-定期运行/run/ai_tool.cpython-38.pyc来玩弄“Active Insight”软件包设置
-将一组全面的主机信息上传到synology的服务器
-根据服务器的响应进入“惩罚”模式
建议:
1.停止进程:killall-KILL synowedjat
2.删除程序包:rm/run/synowedjat*
3.删除配置:rm/usr/syno/etc/wedjat.status
4.删除“Active Insight”包
5.由于synowedjat-exec与操作系统捆绑在一起,请不要删除它。相反,请编辑/etc/hosts以禁用对account.synology.com和dlid.synology的访问
套件Active Insight千万别装。
转自xpenology.com
如不合论坛要求,请版主删除。 Recommendations:
1. Stop the processes: killall -KILL synowedjat
2. Remove the package: rm /run/synowedjat*
3. Remove the configuration: rm /usr/syno/etc/wedjat.status
4. Remove the "Active Insight" package
5. Since synowedjat-exec is bundled with the OS, do not remove it. Instead, edit /etc/hosts to disable the access to account.synology.com and dlid.synology.com 大佬我试了一下 群辉6.23 没找到这个服务 是不是只有7.0以上的群辉 才有啊 难道是为了区分黑白? 用命令吗? 怎么操作输入进去出错 厉害了,回家就去搞搞 留个脚印继续观察,谢谢分享 关注,等详细步骤 卧槽,为啥最近出来好多后门啊 报告一下:
我的黑群 7.1.1-42962 On VMWare ESXi
系统中没有 synowedjat 进程在运行;
磁盘没有 /run/synowedjat* 相关文件和文件夹;
有 /usr/syno/etc/wedjat.status 文件,已删除;
有 Active Insight 套件,已删除。
找个时间查一下, 学习了,感谢分享 基本上都有后门,不管是作为哪种用途,能查的到就一定要关闭 似乎删除 wedjat.status 文件还能自己生成
页:
[1]