¿Tu NAS se comporta de manera extraña? Puede formar parte de una botnet

Los servidores NAS cada vez tienen mayor protagonismo en el día a día de la mayoría de los usuarios, tanto en casa como en pequeños negocios y oficinas. Estos pequeños servidores nos permiten centralizar el almacenamiento dentro de una red local y además nos ofrecen una serie de servicios, como un servidor VPN, de manera que podamos sacarle todo el partido a este servidor. Sin embargo, como estos servidores suelen estar conectados directamente a Internet, también son muy atacados por piratas informáticos, por lo que, si no tenemos cuidado, es muy probable que terminemos infectados.

La semana pasada os hablamos de una importante amenaza informática, eCh0raix, que estaba afectando principalmente a los servidores NAS de QNAP. Este ransomware localizaba los servidores conectados a Internet y, haciendo uso de unos exploits y de la fuerza bruta, terminaba consiguiendo acceso, ejecutando el ransomware en el servidor y cifrando todos los datos de los usuarios.

Este no es, ni de lejos, la primera amenaza informática que afecta a servidores NAS, ni tampoco será la última. Hoy en día hay miles de servidores de este tipo conectados a Internet que, sin que sus dueños lo sepan, están ejecutando malware que los tiene convertidos en una botnet a merced de un pirata informático.

botnets que pueden poner en peligro la seguridad de tu router de fibra óptica

Cómo saber si mi NAS forma parte de una botnet

En el caso del ransomware eCh0raix, la forma de saber si estamos infectados es muy sencilla, y es que basta con ver que nuestros archivos se han cifrado, han desaparecido los originales y se pide el pago de un rescate a cambio de recuperarlos. También es posible comprobar si existe la siguiente ruta en nuestro NAS, /home/user/go/src/qnap_crypt_worker, ya que es donde se copia y ejecuta esta amenaza.

Sin embargo, en el caso de haber sido infectados por un malware que haga formar parte a nuestro NAS de una botnet la cosa es algo diferente, ya que no existen indicios claros (como archivos secuestrados) que indiquen que nuestro NAS forma parte de una red zombie.

Una de las formas más rápidas de saber si nuestro servidor NAS ha sido infectado por un malware que le hace formar parte de una botnet (sobre todo de una botnet de minado de monedas) es controlar el uso de la CPU y la RAM del servidor. Si este se dispara estando en reposo, entonces debemos sospechar.

Uso CPU NAS

También nos puede ayudar a averiguar si hay algo raro escondido en nuestro NAS comprobar los puertos que está utilizando (por ejemplo, con un escáner de puertos) o los servicios que tenemos activos y en funcionamiento en el servidor.

Cómo podemos eliminar un troyano o malware que ha infectado nuestro servidor NAS

La verdad es que depende de la persistencia del tipo de malware que haya infectado nuestro NAS o servidor será más o menos complicado eliminarlo de él.

Si tenemos ya conocimientos avanzados sobre seguridad, una de las formas más eficaces de eliminar el malware de nuestro servidor NAS es identificando su proceso, acudiendo a la raíz del mismo y eliminarlo de golpe de ella. Después de esto es necesario comprobar que no tiene rutinas ni réplicas que le hagan volver a arrancar al reinicio del mismo.

Si no tenemos muchos conocimientos, la mejor forma de eliminar el malware de este tipo de dispositivos es realizando un borrado completo de su sistema, del firmware, y reinstalándolo desde cero. De esta manera el sistema quedará limpio y no tendremos riesgo de que vuelva a replicarse. Eso sí, debemos asegurarnos de descargar la última versión del firmware desde su página web para asegurarnos de estar instalando un firmware oficial y no uno que haya podido verse comprometido antes.

Una vez eliminado y limpiado el NAS, debemos seguir los siguientes consejos para protegerlo y evitar una nueva infección.

Cómo evitar que nuestro servidor NAS se infecte con malware

Aunque existen antivirus para los servidores NAS, la verdad es que no es necesario llegar hasta esos extremos, ya que, además de ser de pago la mayoría de los buenos, consumirá valiosos recursos en el servidor.

Para evitar infectarnos de malware lo más importante es asegurarnos de usar una contraseña segura y robusta. De esta manera evitaremos que los piratas informáticos puedan conectarse por fuerza bruta a nuestro servidor. Además, es importante contar con medidas de seguridad adicionales para reducir la probabilidad de que logren conectarse, como, por ejemplo, usar doble autenticación o bloquear el acceso a una IP concreta tras X fallos con el usuario y la contraseña.

Además, también es importante asegurarnos de usar siempre la última versión del firmware de nuestro NAS para que no existen posibles vulnerabilidades que puedan comprometer la seguridad de nuestro servidor.

Por último, debemos asegurarnos de tener deshabilitados los servicios que no utilicemos (como SSH, telnet, etc) y cerrados todos los puertos que no sean necesarios para conectarnos de forma remota al servidor.