Backup & Sicherheit - Wie der Virenscanner die Integrität der Datensicherung gefährden kann

00 Titel.pngIch weiß, ein ziemlich reißerischer Titel, aber genau so mir letzte Woche passiert. Und dies nicht etwa bei meinem heimischen NAS und Sicherung, nein in der Firma. Bevor jetzt jemand ausruft „Mist von einem Virenscanner“ oder „QNAP sollte oder müsste dies oder das...“, es ist und war auch ein Konfigurationsfehler. Also auch ein Fehler meinerseits auf Grund eines Überlegungsfehlers, genau genommen wegen etwas, an das ich schlicht weg nicht gedacht habe.

Naja, Konfigurationsfehler und Überlegungsfehler gibt es immer wieder. Wieso darüber schreiben? Weil ich denke, dass dies auch bei einigen von Euch - oder gar vielen – genau so eingerichtet und konfiguriert sein wird.


Aber vielleicht sollte ich ganz von Vorne beginnen.


Anmerkung:

Das hier geschilderte Problem tritt bei mir bei unter QTS 4.2.5 mit dem eigenen Standardvirenscanner ClamAV auf. Ob oder in welcher Form das Problem auch beim kostenpflichtigen McAfee Virenscanner oder bei anderen QTS Versionen auftritt ist mir nicht bekannt.



1. Der Anfang – Die Ausgangssituation


Montag morgen ist bei mir in der Firma der Log-Prüftag. Da sehe ich alle Logs, Events, Statistiken, Prüfberichte etc. durch, da über das Wochenende viele Dienste ihren Arbeit erledigen. Danach will ich prüfen ob alles korrekt funktioniert hat und ob es zu sonstigen Vorfällen gekommen ist. Viele dieser Dinge, wie auch Fehlermeldungen und Alarme bekomme ich per Mail, so auch von meinen QNAPs.

Leider haben mich 3 meiner QNAPs nicht mit sehr erfreulichen Nachrichten beglückt.


Code: 1. Meldung NAS 1
  1. Server Name: Daten-NAS
  2. IP Address: 192.168.xxx.xx
  3. Date/Time: 2019/01/20 09:39:11
  4. Level: Warning
  5. [Antivirus] Virus Found by scan job Scan komplett.
Code: 2. Meldung NAS 1
  1. Server Name: Daten-NAS
  2. IP Address: 192.168.xxx.xx
  3. Scan Job : Scan komplett
  4. Start Date: 2019/01/20 07:00:02
  5. Duration : 158 m 57 s
  6. Virus found : 9
  7. Default action : quarantine
  8. Adminstration interface:
  9. Secure:https://192.168.xxx.xxx


Ich denke schon mal oha. Aber es wird aber noch besser. Da sich die Meldungen sehr ähnlich sind füge ich nur noch jeweils die 3 Meldung der weiteren NAS an:



Alle infizierten Dateien sehen in etwa so aus:

.../.../Windows 7 x64/01 Treiber/Drucker/PS Driver 1.0.2_tcm3-169719/CDInstXP.exe

.../.../Windows 7 x64/01 Treiber/Drucker/PS Driver 1.0.2_tcm3-169719/CDInst64.exe

.../.../Windows 7 x64/01 Treiber/Drucker/PCL XL Driver 1.0.4_tcm3-169718/CDInstEx.exe

.../.../Windows 7 x64/01 Treiber/Drucker/PCL XL Driver 1.0.4_tcm3-169718/CDInst64.exe


01 Virenliste.png


Mehr oder minder immer die selbe Datei. Wie man sieht handelt es sich hier wohl um einen Bestandteil eines Druckertreibers. Den Treiber habe ich vor ca. 2 Jahren auf den Clients installiert und bei mir abgelegt und nie mehr angefasst oder verändert.

Ein Überprüfen der Datei auf Veränderung, sowie Scans mit dem Desktop-Viren-Scanner sowie Scans mit den knapp 70 Scan-Engines unter virustotal.com hat nichts ergeben. Lange Rede kurzer Sinn: Es handelt sich hier um eine sogenannte „false positiv“ Meldung, also eine falsche positiv Meldung einer Schadsoftware.

Ich habe auf dem Daten-NAS alle 9 angeblich infizierten Daten wiederhergestellt und geprüft. Nach einem Update der Virendefinition des Standardvirenscanner von QTS (ClamAV) hat auch dieser nichts mehr reklamiert. Also klare Sache.



2. Das Problem - Die Wiederherstellung


Na also, nichts passiert. Auf den Backup-NAS sind nur reine Kopien vom Daten-NAS. Weil ich mit Versionierung arbeite hat es von diesen 9 vom Virenschutz erkannten Dateien auf dem Daten-NAS auf den Backup-NAS natürlich mehrere Stände. Also auch diese kurzer Hand wiederhergestellt ... aber dies ist leider nicht möglich.


02 Nicht kopiert werden.png


Die Wiederherstellung wird mit der Fehlermeldung quittiert, dass für einige Dateien – beim Backup-NAS also eigentlich für fast alle Dateien – der ursprünglich Ordner nicht mehr vorhanden ist.


03 Virenliste.png


Erschwerend kommt hinzu, dass hier scheinbar völlig willkürlich in den verschiedenen Versionsständen einige, aber nicht alle Dateien, oder auch keine wiederhergestellt werden.


Allen Wiederherstellungen gemein, auch auf dem Daten-NAS ohne Versionierung, bei den wiederhergestellten Dateien sind sämtlich Berechtigungen verloren gegangen. Die müssen nachträglich neu gesetzt werden.


04 Zugriff verweigert.png


05 Eigenschaften.png



Was ist da los?

Wenn wir uns betrachten wie QNAP mit dem Sicherungsmanager bzw. Hybrid Backup Sync die Versionierung erstellt ist der Fall eigentlich klar. Die Versionierung wird mit sogenannten Hard Links erreicht – also Verweise oder Pointer. Kommt eine Datei mehrfach genau gleich vor, wird diese nicht mehrfach abgespeichert sondern es wird nur ein neuer Verweis in die neu erstellte Version der Sicherung gemacht. Dies reduziert den Speicherverbrauch beträchtlich. Ein Hard Link ist von einer „echten“ Datei nicht zu unterscheiden, scheinbar auch nicht für das Virenprogramm. Dies hat die Dateien bei jeder Version erkannt und den Hard Link entfernt. Aber mit dem Wiederherstellen scheint das Programm nicht so wirklich zurecht zu kommen.


Wie so ist dies ein Problem?

Müsst Ihr am Tag x einen kompletten Stand wiederherstellen – aus welchen Gründen auch immer - oder müsst den Datenbestand zu einem bestimmen Datum nachweisen, ist dies so natürlich nicht mehr möglich. Die entsprechenden Dateien sind zwar noch da, aber einem bestimmten Stand nicht mehr zugewiesen. Die Integrität des Datenbackups ist so kompromittiert.

Für eine Firma natürlich nicht wirklich tragbar.



3. Die Lösung – Die richtige Einstellung


Die Lösung ist zwar nicht so schön, aber dafür simple einfach:

Auf den Backup-NAS darf der Scan-Job bei erkannter Schadsoftware diese nicht in Quarantäne setzen, sondern nur ein Meldung machen.


06 Scan-Job.png


Interessanterweise ist dies die Standardeinstellung beim Erstellen eines Scan-Jobs.


Dazu würde ich jedoch nur bei reinen Backup-NAS raten, denn hier erfolgt normalerweise kein direkter Zugriff auf die Daten. Die Wahrscheinlichkeit, dass hier etwas passiert bis reagiert werden kann, ist im Gegensatz zu einem Daten-NAS eher gering.


Deshalb empfehle ich allen zu überprüfen, ob eine Anpassung dieser Einstellung in Eurem Fall Sinn macht. Überprüft gegeben Falls ob bei Eurer QTS / Virenscanner / Backup / Versionierung Kombination ein Wiederherstellen funktioniert.


Ein Test-Virus zum Überprüfen lässt sich hier herunterladen:

http://www.eicar.org

Hier lässt sich ein Test-Virus selbst erstellen:

http://2016.eicar.org/86-0-Intended-use.html

Oder direkt zu den Downloads:

http://2016.eicar.org/85-0-Download.html


Achtung:

Bei den Downloads sollte Euer Desktop-Viren-Scanner anschlagen und das Herunterladen verhindern. Hier müsst Ihr eine Weg finden diesen auszutricksen oder baut Euch selbst einen Test-Virus.



4. Fazit


Unterm Strich hatte ich noch Glück, denn der Treiber entspricht in diesem Fall keinen relevanten Daten und die Integrität des Backups ist noch erhalten geblieben. Aber dieses Glück werde ich und Ihr vielleicht nicht immer haben.

Ich habe schlichtweg nicht daran gedacht, dass das Wiederherstellen nicht funktioniert könnte und welche Konsequenzen dies haben könnte. Allerdings könnte man auch erwarten, dass nach einem in Quarantäne setzen die Wiederherstellung der Daten funktioniert.


Wenn Ihr dies bei Euch testet, schreibt doch unten kurz einen Kommentar, mit welchen Programmen und welchen Versionen welches Resultat erzielt wurde, damit andere auch davon profitieren können.

Kommentare 3

  • Ich denke, es ist wirklich auch hilfreich, gerade über Dinge zu schreiben, die NICHT funktioniert haben. Das gibt es in der Forschung leider viel zu selten, weil natürlich alle gerne nur über Sachen schreiben, die super funktionieren. Deswegen wird viel Zeit verbraten mit Versuchen, die auch schon anderswo schiefgegangen sind. Also deswegen: Daumen hoch für Deinen ausführlichen Bericht!

    • Danke. Schließlich kann man aus Fehlern und Fehlschlägen von anderen auch lernen. Muss ja nicht immer "weh" tun.

  • noch eine kleine Anmerke zu Test Virus, dieser liegt bei mir auch rum, nur das ich diesen x x x mal immer wieder eingepackt (tar, rar, zip...usw) habe um zu testen ob das ganze dann auch gefunden wird.......und auch wann das ganze gefunden wird