Synowedjat 是 Synology 的后门程序。检查软件包更新时,无论您是否使用正版 Synology 设备,它都会从服务器下载并执行。强烈建议将其删除。
具体:
1、当后台服务检查更新时,调用“synopkg chkupgradepkg”
2、“Synopkg Chkupgradepkg”开始Synowedjat-exec
3、synowedjat-exec
- 将硬件信息上传到 account.synology.com/wedjat
- 下载并提取包含后门的 synology 存档 synowedjat.sa
- 运行主二进制文件“synowedjat”保护
4、synowedjat 有几种模式
调试模式(由 argv[1] 控制)
- “collect”和“collect-enc”将一组全面的主机信息上传到 Synology 的服务器,以纯文本或加密形式
- “punish惩罚”重置登录页面的背景,并发送盗版通知
“protection保护”是默认模式
- 运行 /run/ai_tool.cpython-38.pyc 以使用“Active Insight”套件设置进行重置
- 定期将一组全面的主机信息上传到 Synology 的服务器
- 根据服务器的响应进入“惩罚”模式
建议:
1、停止进程:killall -KILL synowedjat
2、删除软件包:rm /run/synowedjat*
3、删除配置:rm /usr/syno/etc/wedjat.status
4、删除“Active Insight”套件
echo 127.0.0.1 account.synology.com >> /etc/hosts
echo 127.0.0.1 dlid.synology.com >> /etc/hosts本站备注:修改 控制面板-网络 里面的 服务器名称会清空重置hosts,如果修改记得重新添加。
本文来自转载,文中观点不代表本站立场,文章出自:https://xpenology.com/forum/topic/68080-synology-backdoor
