紧急扩散！国外某知名论坛惊爆Synology群晖Nas系统发现后门程序–Synowedjat，覆盖黑/白群晖设备系统 后门分析 附清除脚本[转]

2024年6月17日凌晨国外某Synology群晖论坛突然爆出群晖系统自带后门程序–Synowedjat，据最新消息，Synology官方对本后门系统暂时不予修复。

Synowedjat是Synology的一个后门程序,无论您使用的是否为正版设备,也就意味着无论你是购买的正品群晖Nas，还是安装的黑裙，都会有这个程序，因为在检查软件包更新时都会从服务器下载并执行。它的工作流程如下:

1. 当后台服务检查更新时,会调用”synopkg chkupgradepkg”命令。
2. “synopkg chkupgradepkg”命令开始执行Synowedjat-exec。
3. Synowedjat-exec会:
   • 将硬件信息上传到account.synology.com/wedjat
   • 下载并解压含有后门的synology档案synowedjat.sa
   • 运行主二进制文件”synowedjat”
4. Synowedjat有以下几种模式:
   • 调试模式,由argv[1]控制
     • “collect”和”collect-enc”将主机详细信息上传给Synology服务器
   • “punish”模式会重置登录页面背景,发送盗版通知
   • “protection”为默认模式
     • 运行/run/ai_tool.cpython-38.pyc使用”Active Insight”套件
     • 定期将主机信息上传至Synology服务器
     • 根据服务器响应进入”punish”模式

为了移除该后门程序,建议采取以下步骤:

1. 停止Synowedjat进程:killall -KILL synowedjat
2. 删除软件包:rm /run/synowedjat*
3. 删除配置文件:rm /usr/syno/etc/wedjat.status
4. 删除”Active Insight”套件

并执行下面操作

echo 127.0.0.1 account.synology.com >> /etc/hosts
echo 127.0.0.1 dlid.synology.com >> /etc/hosts

当然为了安全起见，请尽量本地端口不要暴露于公网，或者给本地IP加端口限制，也可以选择其它品牌的Nas，更何况现在的群晖压根就没有性价比，价格高的离谱，却给的垃圾配置！