이번에 발생한 취약점은 파일 업로드를 하는 몇 cgi들에게서 파일 업로드시 인증을 하지 않고 바로 업로드가 가능하기에, 해당 경로를 통해 파일 업로드를 한것 같네요. 해당 멀웨어는 침입 후, 시스템리소스에 자신의 프로세스를 숨기며, 업데이트 패널에서 현재 사용하고 있는 DSM버전이 최신버전이라 속입니다. 더불어 비트코인 머신으로 만드네요.
임시 해결책은 시놀로지에서 적용한 CVE-2013-6955, CVE-2013-6987 보안리포트를 참고해서 해당 파일들의 이름을 변경하면 됩니다.
DiskStation > cd /usr/syno/synoman/webman/
DiskStation > mv imageSelector.cgi imageSelector_{아무 값}.cgi
DiskStation > cd /usr/syno/synoman/webapi/dsm/
DiskStation > mv html5_upload.cgi html5_upload_{아무 값}.cgi
DiskStation > mv file_delete.cgi file_delete_{아무 값}.cgi
DiskStation > mv file_download.cgi file_download_{아무 값}.cgi
DiskStation > mv file_sharing.cgi file_sharing_{아무 값}.cgi
DiskStation > mv file_share.cgi file_share_{아무 값}.cgi
DiskStation > mv file_MVCP.cgi file_MVCP_{아무 값}.cgi
DiskStation > mv file_rename.cgi file_rename_{아무 값}.cgi
일단 아래 올라온 글을 참조하여 관련된 프로세스 중지, 삭제 하시고, 루트 디렉토리에 있는 PWNED 폴더도 삭제해주세요.
이 방법은 해당 취약점을 패치하는것이 아닌, 이름만 바꿔서 해당 파일에 접근하지 못하게 만들어 멀웨어를 업로드 하지 못하게 만듭니다. 말그대로 임시방편이지요.
때문에 웹상에서 File Station, 시놀로지 배경 변경 기능을 사용하지 못합니다. 파일 외부 공유도 안되고요. 뚫렸는데 데이터가 안날라간걸 정말 소중하게 생각하셔야합니다 -_-;; 해킹당하면 RAID 고 뭐고 소용 없어요.
WebDAV, AFP, SMB, Mobile App 등 다른것과는 관련 없는 파일이기에 정상 작동 합니다.
minerd¶ó´Â ÇÁ·Î¼¼½º°¡ CPU 100%¸¦ ¸ÔÀ¸¸é¼ µ¹°í ÀÖ¾ú½À´Ï´Ù.
Âü°íÇϼ¼¿ä.
Àú ÆÄÀϵéÀ» ÆÐÄ¡µÈ ½Ã½ºÅÛ¿¡¼ º¹»çÇØ ¿À¸é µÇ°Ú³×¿ä ^^
-----
=> È®Àΰá°ú ) 4.3 º¸¾ÈÆÐÄ¡µÈ ÆÄÀϵéÀº 4.2 ¿¡´Â ¸ÂÁö ¾Ê´ÂÁö º¹»çÇØ ³Ö¾îµµ µ¿ÀÛÇÏÁö ¾Ê³×¿ä..