Maliciel (Ou Pas )

[lorenzo c]

bonjour a tous

j'ai eu ce matin ce petit message sur mon 214play concernant un maliciel detecté

les fichiers suivant ont été modifié : /lib/modules/ftdi_sio.ko et /lib/modules/usbserial.ko

d’après mes recherches il semblerai que cela soit du a l'installation du package synozwave

j'ai désinstaller le package .. mais j'ai toujours l'erreur ..

y aurai t'il une procédure simple pour remettre ça conforme ?

[PiwiLAbruti]

Est-ce que les modules ftdi_sio.ko et usbserial.ko sont toujours présents dans /lib/modules ?

[gaetan.cambier]

apparemment, les 2 fichiers existent sur un dsm sans ce paquet

[PiwiLAbruti]

La question serait alors de savoir si le paquet synozwave n'écraserait pas ces deux librairies avec une version plus récente.

Où as-tu téléchargé le paquet synozwave ?

[PiwiLAbruti]

Après investigation, le paquet SynoZwave copie les modules cp210x.ko, ftdi_sio.ko, pl2330.ko et usbserial.ko depuis /var/packages/synozwave/target/modules vers /lib/modules avec la commande que l'on trouve dans /var/packages/synozwave/scripts/postinst :

cp ${PKGPATH}/target/modules/*.ko /lib/modules/

Plus violent tu meurs. Cette commande écrase les versions originales des modules ftdi_sio.ko et usbserial.ko (cp210x.ko et pl2330.ko n'existent pas à l'origine) sans faire de sauvegarde préalable. Ainsi les versions originales ne sont pas restaurées lors de la désinstallation du paquet, d'où le DSM qui fait bien son boulot en détectant ces modules modifiés comme une menace.

Il est cependant possible de récupérer les versions originales dans le fichier du firmware (.pat) ouvert avec 7zip.

Ce paquet est une honte ! Je laisse ceux qui l'utilisent le signaler à SynoZwave (je n'utilise pas ce paquet).

Pour télécharger ce paquet sans passer par le dépôt : http://www.synozwave.com/SPKs/?file=synozwave_0.0.017.02_88f6281(vous pouvez remplacer 88f6281 par l'architecture de votre NAS, sous réserve que le fichier correspondant existe).

Modifié le 22 avril 2015 par PiwiLAbruti

[lorenzo c]

voila l'article que j'ai trouvé ce matin sur le site de synology :

Security Advisor est responsable d'une vérification complète des paramètres système de DSM pour sécuriser votre Synology NAS.

Lorsque vous recevez ce message de Security Advisor, une des possibilités est que vous avez peut être installé/exécuté des packages tiers non certifiés dans votre Synology NAS.

L'utilisation de tels package a pu modifier les fichiers système de DSM et ainsi rendu votre Synology NAS vulnérable.

Pour protéger votre Synology NAS de problèmes liés à la sécurité, il est fortement recommandé d'obtenir des packages vérifiés par Synology via le Centre de Packages ou Le centre de téléchargement Synology.

Vous trouverez ci-dessous les packages non certifiés connus pouvant endommager la santé de votre Synology NAS.

Nous continuerons de mettre à jour cette liste afin de vous aider à rester informés de tels packages.

Nom du package :
-SynoZWave

Symptôme

- /lib/modules/usbserial.ko
- /lib/modules/ftdi_sio.ko

Impact

-Instabilité du système

Niveau

-Bas

c'est donc bien synozwave qui a fait ca .. j'ai voulus tester le paquet ( alors que je n'ai meme pas recu ma clé usb Zwave ... lol ) ..

d un coté je suis un peu rassuré car le probleme est identifé ..

meci Piwi et gaetan pour vos reponses ..

j'ai le fichier .pat du dsm .. je vais voir comment recup les fichiers et les remplacer sur le nas

Modifié le 22 avril 2015 par lorenzo c

[gaetan.cambier]

En fait le problème c'est que dans un paquet, on fait vraiment ce que l'on veux sans aucune restrictions

A la limite tu peux même mettre un rm -Rf / a l'installation du script, il y a aucune sécurités contre ça :s

[PiwiLAbruti]

C'est pour ça que chez SynoCommunity le code des scripts utilisés est facilement consultable sur GitHub, et que les modifications apportées sont soumises à validation par une poignée de développeurs.

On regrette juste que les éditeurs de logiciels n'utilisent pas nos services pour créer leurs paquets. Après on ne fait aucun effort non plus pour les attirer.

[gaetan.cambier]

j'ai des pr qui trainent depuis 1 mois et rien,

bref vu l'absence de reponse je diffuse les paquet modifie depuis chez moi, et tant pis pour la communaute !

j'ai plein de modification que je devrait pousser, mais vu que les première ne passent meme pas, j'essaye pas plus

a la fois, loli71 avait essayé de pousser aussi des modif (ca dois faire 6 mois) pour le squidguard, et rien, bizarre qd meme

Modifié le 22 avril 2015 par Gaetan Cambier

[PiwiLAbruti]

Je ne sais pas pourquoi Diaoul met tant de temps à valider les PR. Au pire il pourrait déléguer cette tâche à d'autres. Essaye de voir ça directement avec lui.