Synology的后门（转）

Synowedjat是Synology的后门。检查包更新时，无论您是否使用正版Synology设备，都会从服务器下载并执行包更新。强烈建议将其移除。

明确地：
1.后台服务检查更新时，调用“synopkg chkupgradepkg”
2.“synopkg chkupkg”启动synowedjat-exec
3.synowedjat-exec公司
-将硬件信息上传至account.synology.com/wedjat
-下载并解压缩synowedjat.sa，一个包含后门的synology档案
-运行主二进制文件“synowedjat protection”
4.synowedjat有几种模式
-调试模式（由argv[1]控制）
-“collect”和“collect-ec”以明文或加密的形式将一组全面的主机信息上传到synology的服务器
-“惩罚”会重置登录页面的背景，并发送盗版通知
-“保护”是默认模式
-定期运行/run/ai_tool.cpython-38.pyc来玩弄“Active Insight”软件包设置
-将一组全面的主机信息上传到synology的服务器
-根据服务器的响应进入“惩罚”模式

建议：
1.停止进程：killall-KILL synowedjat
2.删除程序包：rm/run/synowedjat*
3.删除配置：rm/usr/syno/etc/wedjat.status
4.删除“Active Insight”包
5.由于synowedjat-exec与操作系统捆绑在一起，请不要删除它。相反，请编辑/etc/hosts以禁用对account.synology.com和dlid.synology的访问


套件Active Insight千万别装。
转自xpenology.com
如不合论坛要求，请版主删除。

Recommendations:
1. Stop the processes: killall -KILL synowedjat
2. Remove the package: rm /run/synowedjat*
3. Remove the configuration: rm /usr/syno/etc/wedjat.status
4. Remove the "Active Insight" package
5. Since synowedjat-exec is bundled with the OS, do not remove it. Instead, edit /etc/hosts to disable the access to account.synology.com and dlid.synology.com

大佬  我试了一下 群辉6.23 没找到这个服务   是不是只有7.0以上的群辉 才有啊  

难道是为了区分黑白？

用命令吗？

怎么操作  输入进去出错

厉害了，回家就去搞搞

留个脚印继续观察，谢谢分享

关注，等详细步骤

卧槽，为啥最近出来好多后门啊

报告一下：
我的黑群 7.1.1-42962 On VMWare ESXi
系统中没有 synowedjat 进程在运行；
磁盘没有 /run/synowedjat* 相关文件和文件夹；
有 /usr/syno/etc/wedjat.status 文件，已删除；
有 Active Insight 套件，已删除。

找个时间查一下，

学习了，感谢分享

基本上都有后门,不管是作为哪种用途,能查的到就一定要关闭

似乎删除 wedjat.status 文件还能自己生成