群晖安全吗?看完这篇文章内容你再作决定,因为最近在外网的知乎(Reddit)上看到,群晖常年内置了Synowedjat 程序,有人分析Synowedjat是Synology的一个后门程序,或者类似的功能,而且无论您使用的是否为正版设备,都一样!也就意味着无论你是购买的正品群晖Nas,还是安装的黑裙,都会有这个程序,因为在检查软件包更新时都会从服务器下载并执行。它的工作流程如下:
- 当后台服务检查更新时,会调用”synopkg chkupgradepkg”命令。
- “synopkg chkupgradepkg”命令开始执行Synowedjat-exec。
- Synowedjat-exec会:
- 将硬件信息上传到account.synology.com/wedjat
- 下载并解压含有后门的synology档案synowedjat.sa
- 运行主二进制文件”synowedjat”
- Synowedjat有以下几种模式:
- 调试模式,由argv[1]控制
- “collect”和”collect-enc”将主机详细信息上传给Synology服务器
- “punish”模式会重置登录页面背景,发送盗版通知
- “protection”为默认模式
- 运行/run/ai_tool.cpython-38.pyc使用”Active Insight”套件
- 定期将主机信息上传至Synology服务器
- 根据服务器响应进入”punish”模式
- 调试模式,由argv[1]控制
为了移除该后门程序,建议采取以下步骤:
- 停止Synowedjat进程:
killall -KILL synowedjat - 删除软件包:
rm /run/synowedjat* - 删除配置文件:
rm /usr/syno/etc/wedjat.status - 删除”Active Insight”套件
并执行下面操作
echo 127.0.0.1 account.synology.com >> /etc/hosts echo 127.0.0.1 dlid.synology.com >> /etc/hosts
当然为了安全起见,可以选择其它品牌的Nas,更何况现在的群晖压根就没有性价比,价格高的离谱,却给的垃圾配置!
文章内容来自:
https://xpenology.com/forum/topic/68080-synology-backdoor/
以及下面的Reddit文章
