[AIDE] Piratage de mon NAS

Lionel · 27 Février 2015 à 20:25:31

Bonsoir,

Cambriolage de mon NAS. Les photos et vidéos de ma fille et des tonnes de papiers administratifs disparus.
A la place : "contact moi si tu veux votre documents.txt" avec un email à l'intérieur sur chaque répertoire.
Le mec me demande 8K€ pour tout me rendre.

Trois sujets :
1) Le risque d'usurpation d'identité. Ca, je traite avec la police.

2) Puis-je récupérer mes données ? il s'agit d'un Syno DS 414. Le mec a utilisé une faille du compte guest, donc il a juste aspiré les fichiers puis les a deletés.
Y a-t-il un moyen de récupérer la data ? car je ne connais pas les systèmes de fichier des NAS Syno, mais il y a bien les données à un endroit et la file allocation table à un autre non ? donc fondamentalement, le mec a juste supprimé la FAT, pas les fichiers non ? quelqu'un qui s'y connait pourrait m'aider ?

3) J'ai récup les logs pour comprendre d'où ça venait, voici les items dont je sais qu'ils s'agit du pirate :
INET(IP:81.28.167.40)
QLUBIC(IP:41.100.153.97)
QLUBIC(IP:41.100.174.69)
QLUBIC(IP:41.100.181.140)
QLUBIC(IP:41.100.143.130)
NEW(IP:81.28.164.54)
QLUBIC(IP:41.100.129.66)
RAMATTANGAZA(IP:95.13.81.94)
OBS01(IP:181.196.27.91)
QLUBIC(IP:41.100.203.193)

Dis-moi K-net, une chance que tu puisses m'aider sur la base de ces éléments ?

vinste · 27 Février 2015 à 21:21:08

Bonsoir
Dur...
Il parait que le support Synology est très bon... tu as essayé de les joindre? Ils devraient pouvoir t'aider.
Bon courage

graphisketch · 27 Février 2015 à 21:21:40

salut
je ne vais pas pouvoir beaucoup t'aider car non pro du dispositif mais j'ai comme toi un syno et il me semblait qu'effectivement il y avait une faille mais qu'avec les MAJ récentes ce n'était plus possible ce genre de déconvenue ..à moins que ce soit une autre faille !! avais tu fais tes MAJ ?j'ose imaginer que oui ...perso ce n'est que des sauvegarde de job mais ça me gonflerais de subir ce type d'attaque , surtout qu'au niveau sécurité je dois être au niveau maternelle ...

miky01 · 27 Février 2015 à 21:29:08

Meme un NAS faut lui faire un backup periodique, en reseau, ou local sur p.ex bande DLT, c'est la seule facon de récuperer tes données en cas de crash complet du NAS, le RAID t'immunise que partiellement contre un crash disc, mais j'ai vu un client compètement desepèré suite a la perte de toutes ses données de comptabilité, il pensait etre imunisé contre ce genre "d'accident", mais le crash du controleur a tout corrompu, c'est irrécupérable...

Dans tous les cas, ne cede pas au chantage, le pourri qui a fait ca n'a surement rien backupé, mais juste effacé les fichiers...

graphisketch · 27 Février 2015 à 21:38:39

ça veut donc dire qu'il faut un NAS pour sauvegarder ton NAS quoi ...c'est logique mais bon ...

Damien · 27 Février 2015 à 21:56:16

On ne trace pas ce que vous faites avec votre connexion, donc non, on ne peut rien faire.
Faut regarder les logs.

Mais il me semble avoir déjà vu passer sur le net ce genre de façon de faire, avec le .txt

miky01 · 27 Février 2015 à 22:32:01

Citation de: graphisketch le 27 Février 2015 à 21:38:39
ça veut donc dire qu'il faut un NAS pour sauvegarder ton NAS quoi ...c'est logique mais bon ...

Un remote backup "online" chez un fournisseur c'est pas trop cher, maintenant pour des donnés sensibles, ca se fait sur des bandes DLT que stocks pas au meme endroit que ton NAS.

Lionel, Contacte quand meme le support Syno, tes fichers sont peux etre toujours dessus, mais juste inacessibles, je connais pas assez bien les Syno pour te donner un conseil.

graphisketch · 27 Février 2015 à 23:18:03

Citation de: miky01 le 27 Février 2015 à 22:32:01Un remote backup "online" chez un fournisseur c'est pas trop cher, maintenant pour des donnés sensibles, ca se fait sur des bandes DLT que stocks pas au meme endroit que ton NAS.

oui il est vrai que ce n'est que du bon sens et les couts actuels ont pas mal baissés , ce qui laisse à penser que concernant une entreprise cela devrait être intégré dès le départ de la mise en place de la structure info..

pierre_ · 28 Février 2015 à 00:04:46

Remote backup chez un fournisseur ? Il te faut donc choisir qui va lire tes données entre la NSA, le gouvernement français ou un de leurs alliés :S

En attendant qu'un pote digne de confiance ait la fibre, je sauvegarde en local sur un disque USB (rsync). Quand je pourrai, ce sera sauvegarde croisée avec cryptage.

redge76 · 28 Février 2015 à 00:16:03

Il faut te demander combien valent tes données.... Les ransomware sont assez efficaces au niveau cryptage et tu as peu de chance de retrouver tes données.
Techniquement il y a souvent pas grand chose a faire. Fait des recherches...
Si tu veux revoir tes fichiers, tu risque de devoir payer.... Il y a un certain nombre d'article sur le net avec des témoignages. Les groupes qui pratiquent ce genre d'extorsion sont souvent assez reglos. Ils veulent que tout le monde sache que quand on paye on retrouve ses données. C'est leur business....
Tu peux même souvent négocier. 8k pour des données perso c'est trop cher. Tu peux peut etre faire baisser la note.... en négociant
C'est con. je sais...
C'est quoi la faille qui a été utilisée? Je ne retrouve rien sur google en cherchant "contact moi si tu veux votre documents.txt" .... T 'as trouvé quelque chose ?
Je trouve bizarre qu'il ait téléchargé toutes tes données. C'est pas la méthode normal car le pirate devrait etre capable de stocker tout ca chez lui. C'est pas économiquement viable.
T'as des preuves qu'il a pas tout effacé et qu'il bluffe ?

redge76 · 28 Février 2015 à 00:20:03

Et pour ce qui est de la sauvegarde, je conseille crashplan. En mode gratuit ça permet de faire des sauvegarde chez des "amis". Tout est crypté (en tout cas c'est ce qui est vendu....)
Si tu payes tu peux aussi sauvegarder "dans le cloud". Taille illimité. C'est multi plateforme (windows, mac, linux, NAS ...)
Perso je sauvegarde toutes mes machines entre elles et je paye pour sauvegarder le NAS dans le cloud (ouai j ai pas peur de la NSA...)
L'interface est ultra simple et apres 1 an d'utilisation je peux dire que c'est TRES FIABLE.

pierre_ · 28 Février 2015 à 00:23:25

Petit truc simple : Peux-tu vérifier (à l'aide d'un df -h par exemple), l'espace occupé et libre sur ton Syno ? S'il y a une grosse variation vers le bas, les données ont effectivement disparues (les photos et vidéos, ça prend pas mal de place). Tu sauras si les données sont toujours là, sous quelque forme que ce soit.
Avec un windirstat ou équivalent syno, tu peux même essayer de retrouver les plus gros répertoires pour voir s'ils ne contiennent pas justement une ou plusieurs archives inconnues.

TiTi · 28 Février 2015 à 00:26:32

Il a supprimer les fichiers ? Tu peux récup si il a fait un formatage rapidos.

Je ne sais pas si ça marche avec tous les formats, mais en général le formatage rapide / suppression fichier enlève juste "l'index" et donc ton fichier est encore présent. Tu as certains logiciels qui retrouvent ces fichiers (Tu n'auras pas le nom, le format, ...)

Ai-je raison ?

redge76 · 28 Février 2015 à 00:26:39

> je ne connais pas les systèmes de fichier des NAS Syno,
C'est de l'ext4. Donc tu dois pouvoir utiliser les soft sous linux. J'ai regardé un coup sur google il y a quelques document la dessus....
Ca demande quelques connaissance quand meme.
Recup le RAID sur un linux
https://www.synology.com/en-us/knowledgebase/faq/579
Apres il faut un autre soft pour faire le "undelete"

Kirea · 28 Février 2015 à 00:49:53

A la suite de ce post, je viens de faire un rsync aussi vers un ks ovh lol

Rechercher