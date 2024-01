NAS je sjajan uređaj – jednom ga konfigurišete, stavite u neki ugao sobe i zaboravite na njega. Posle desetak godina vernog rada, NAS me je e-mail-om obavestio da otkazuje poslušnost. I tako su počeli problemi…

Moj prvi NAS, QNAP TS-420, kupljen je pre tačno 10 godina, u novembru 2013. Nisam zapravo planirao da ga kupim, nego sam ga dobio na test od Mikro­Princ-a, napisao tekst za PC#205 i u čitavom tom procesu uređaj mi se toliko svideo i delovao mi je toliko zgodno da nisam mogao sebe da nateram da ga vratim. I tako sam ga kupio, nabavio za njega četiri hard-diska od po 4 TB, i koristio ga pre svega za backup podataka sa računara, ali i za skladištenje razne multimedije. Osim što je ubrzo nakon kupovine jedan od diskova otkazao pa sam mora da ga zamenim (RAID je učinio da se podaci ne izgube), NAS je funkcionisao savršeno i nije zahtevao nikakvo održavanje osim povremenog update-a sistemskog softvera. Kasnije sam se preselio, kupovao nove, bolje QNAP uređaje a taj TS-420 je mirno radio svoj posao i nije pravio nikakve probleme. Sve dok…

Abnormal System File

U mirne noćne sate stiže mi e-mail poruka od QNAP-a u kojoj piše: [Malware Remover] Detected one or more abnormal system files. Contact QNAP support immediately. Pošta je i ranije stizala od QNAP-a, ali se uglavnom radilo o tome da treba instalirati novu verziju operativnog sistema, ili da je nestalo struje, pa će se NAS napajati iz UPS-a neko vreme, posle čega prelazi u pasivno stanje. Ova poruka je zvučala baš neprijatno. Da li je moguće da je moj QNAP „pokupio nešto“?

Pošto je uređaj na drugom kraju grada, probao sam da se ulogujem na njega preko VPN-a. Ispisivao je uobičajenu masku, tražio username i password, ali šta god otkucam, nije me puštao u sistem; samo ponovo iscrta istu masku. Kad gledam mrežne share-ove iz Total Commander-a, vidim normalno fajlove po folderima. Kao da je sa podacima sve u redu. Ili ih možda neki ransomware mirno kriptuje. Na tamošnjem MikroTik-u ne primećujem neki poseban saobraćaj sa QNAP-ove IP adrese, dakle nije korišćen za masovno slanje spama.

Kada nešto nije u redu, prvo nam padne na pamet da resetujemo uređaj. Ali, kako ga resetovati kada ne mogu da se ulogujem na njega? Kolega mi je sugerisao da pokrenem QFINDER koji, osim pronalaženja uređaja u mreži, omogućava i njegovo resetovanje. Bila je to odlična ideja, restartovao sam uređaj ali je rezultat bio isti: fajlovi na diskovima su dostupni kroz mrežu, ali login na QNAP ne uspeva.

Da li je moguće da sam prvi na svetu dobio ovakvu poruku? Bio je to trenutak da se ozbiljno zabrinem

Što je najčudnije, kada na Google-u tražim “Detected one or more abnormal system files“, tekst se nigde ne javlja. Da li je moguće da sam prvi na svetu dobio ovakvu poruku? Bio je to trenutak da se ozbiljno zabrinem. Nisam se naročito brinuo za sam uređaj, koji je već 10 godina star pa ako je i pokvaren, nije neka strašna šteta, i onako treba da ga menjam. Nisam se brinuo ni za podatke na diskovima, to je nekakva multimedija koja nije naročito bitna, a većinu toga imam i na drugim uređajima. Ali sam sve ozbiljnije pomišljao da je uređaj hakovan.

Greška ili krađa lozinki

Sumnjiva mi je bila situacija u kojoj QNAP ispiše masku za prijavljivanje i onda, bilo da otkucam dobre podatke ili nešto bez veze, on ne odgovori da je lozinka loša; naprosto se vrati na istu masku. Baš liči na neki sistem za krađu lozinki: ispituje vas i čeka da probate razne lozinke, a onda te podatke javlja „negde“. Pošto sam nekoliko puta uneo lozinku, zaključio sam da se može pomisliti da je ona ukradena. Što je vrlo loše.

Zato sam potencijalno kompromitovani QNAP izolovao od Interneta (ne zaboravljajući da on ima dve mrežne kartice i dve IP adrese u lokalnoj mreži) i pozabavio se narednim problemom. Lozinka koju koristim na njemu slična je mojoj osnovnoj lozinki na PC-ju, laptopu, serveru… Znam da nije dobro koristiti iste lozinke na raznim uređajima, ali ko bi za svaki smišljao posebnu. Zato su lozinke slične, razlikuju se u par slova, ali ako je jedna kompromitovana, ne mogu više da verujem ni ostalima. Kada ih već menjam, da izaberem nešto malo duže… 20 slova umesto 12. I tako sam promenio sve svoje bitne lozinke i posle toga se danima pitao da li ću uopšte uspeti da se ulogujem na neki od uređaja ili sam pomešao slovo-dva… Sa druge strane, dobro je da me nešto nateralo da promenim password-e koji se vuku već nekoliko godina.

Pre nego što sam odustao od napora da daljinski oporavim uređaj, palo mi je na pamet da se njemu može pristupiti i konzolno, sa ssh odnosno programom Putty. Da, operativni sistem QTS je specijalno prilagođena distribucija Linux-a, pa je moguć pristup i administracija iz komandnog režima. Na žalost, stvar nije uspela: kada pokušam da se prijavim na ssh port 22 ili telnet port 23, QNAP naprosto odbije konekciju.

Nepristupačan, pa to ti je

Sledećeg dana sam otišao do uređaja i probao sve što mi je padalo na pamet da bih mu pristupio. Telnet i ssh nisu radili lokalno, kao što nisu radili ni preko VPN-a, što je uostalom bilo i za očekivati. Simptomi kod pristupanja su bili isti – maska, otkucam lozinku i, bila ona dobra ili ne, samo dobijem istu masku.

Linux Software RAID (mdraid), na kome su bazirani gotovo svi Linux RAID-ovi, poseduje persistent superblock – kojim god redom da nabacate diskove, RAID će se očuvati

Uz malo guglanja saznao sam da se NAS može vratiti u inicijalno stanje tako što se tri sekunde drži reset taster i onda se administratorska lozinka promeni u admin. Probao sam, lozinka se stvarno promenila (što sam video kad probam da mapiram share-ovane diskove), ali ni sa starom ni sa novom lozinkom nisam mogao da se prijavim na uređaj. Eksperiment je ipak pokazao da neka autorizacija funkcioniše, makar kada se disk mapira.

Kao sledeći korak, treba držati reset taster nekih 20 sekundi, posle čega se još neka gomila stvari resetuje na podrazumevane vrednosti, ali se podaci na diskovima ipak čuvaju. Pokušao sam i to, ali bez rezultata.

I posle toga prosto nisam imao ideju šta još da probam.

Viteška i druga rešenja

Znajući da bi „viteški“ bilo razmišljati dalje i najzad naći način da se problem locira i reši, zaključio sam da stvar nije vredna truda. Taj QNAP TS-420 je baš mator i ne može da koristi punu brzinu (gigabitne) mreže: kod upisa se umesto 115 Mbps postiže jedva 65 Mbps. A kod kuće sam imao mnogo moderniji TS-453A iz 2018, koji sam 2020. zamenio modelom TS-832X da bih prešao na 10 Gbps mrežu. TS-453A je stajao bez veze u ormanu, uz plan da ga jednom instaliram umesto prastarog TS-420, što me je stalno mrzelo da uradim. Pa da onda spojim nuždu sa vrlinom, uzmem TS-453A, prebacim u njega diskove iz „hakovanog“ uređaja, formatiram ih i pustim da se multimedija polako kopira na novi(ji) NAS. Stari TS-453A ću prosto rashodovati i poslati u orman zvani „groblje kućnih ljubimaca“.

I tako izvadim diskove… auh, koliko je prašine unutra bilo – posle sam morao da ribam ne samo ruke, koje su izgledale kao da sam orao njivu, nego i unutrašnjost usisivača, pošto sam naivno koristio onaj kuhinjski. Da bih obrisao podatke sa njih trebalo bi ih povezivati na PC i formatirati, ali ko će da gubi vreme na to (još jedna ne-viteška osobina – biti lenj) – natrpaću diskove u novi NAS drugim redosledom. Ona dva što su bila u centru stavio sam levo i desno, a levi i desni disk u sredinu.

I posle toga prosto nisam imao ideju šta još da probam

Ubacim ja diskove u „novi“ NAS, sačekam da QFINDER pronađe uređaj i uspešno se ulogujem kao admin / admin. Savršeno! Sačeka me mali milion poruka da ovo nije update-ovano, ono više ne postoji, App Centar zahteva da se dodaju neka čuda… nije neobično kad se zna da je uređaj stajao u ormanu tri godine. Košmar je potrajao sat ipo, jer je uređaj tražio da se resetuje nekoliko puta, a ako QNAP ima neku manu, onda je to što reset traje predugo. No najzad je sve leglo na svoje mesto i QNAP je bio spreman da na njega prespem podatke.

Otporan je RAID…

Osim što presipanje podataka nije bilo potrebno: kada sam hteo da kreiram volumen, ispostavilo se da on već postoji. RAID 5, a na njemu… moji podaci. Nedirnuti. Postoje čak i korisnici, osim što je lozinka administratora promenjena. Tu su i share-ovi, prava, sve bukvalno kao što je ranije bilo, samo na novom, bržem NAS-u. Ne mora ništa da se setuje, ne mora ništa da se kopira.

Kasnije sam naučio da Linux Soft­ware RAID (zvani mdraid ili MD/RAID), na kome su bazirani gotovo svi Linux RAID-ovi, poseduje nešto što se zove persistent superblock i omogućava sklapanje datog niza diskova na bilo kom računaru na osnovu informacija koje su upisane na samim diskovima. Kako god da ih nabacate, RAID će se očuvati. Nisam nameravao da se to desi (osećao bih se sigurnije da je sve inicijalizovano od nule), ali kad se već desilo, sigurno mi nije palo na pamet da pobrišem podatke i ponovo ih kopiram.

Pre nego što sam vratio uređaj u ugao gde ću zaboraviti na njega, hteo sam da proverim da li sada radi ssh. Mislim, zašto ne bi radio, ali čisto da potvrdim. Kad ono – ne radi. Isti simptomi, ne može da uspostavi konekciju. Ali sada radi Web interfejs, odem u odgovarajuću masku i vidim da je ssh premešten sa porta 22 na port 650, gde radi normalno. Najverovatnije je to setovanje nasleđeno sa starog NAS-a, tj. u nekom trenutku sam iz bezbednosnih razloga promenio port i zaboravio na to. Da sam se setio da probam razne portove, možda bi SSH login radio pa bih iz komandnog režima mogao da obavim osnovnu dijagnostiku i tako ustanovim zašto nije radio Web login. Tada bih znao sve. Ovako samo pretpostavljam da je neki sistemski fajl oštećen usled fizičke greške na (sada već vremešnim) diskovima, dakle naučio sam samo

da je RAID otporniji nego što sam mislio. I prešao sam na novi, brži NAS, a pitanje je kada bih to uradio da nije bilo havarije. A imam i materijal za ovaj tekst. Sve u svemu – neka vrsta hepienda.

Podelite s prijateljima

Tweet