Sicherheitslücke in Optware? (TS 569L)

    Habe seit längerem auf meiner NAS Standardmäßig beim Booten die inotifywait option angeschaltet, damit ich schauen kann warum meine Festplatten aus dem Standby aufwachen.
    Gestern wunderte ich mich, da ich eigentlich alles soweit im Griff hatte, was die Festplatten wecke (lockdirs, samba locks, webfolder etc ppp), daher habe ich mir die logdateien mal genauer angeschaut und nach dem letzten Zugriff von mir folgendes entdeckt.


    Was mich daran besonders stört sind die MODIFY und CLOSE_WRITE befehle. Da hat sich irgendjemand an meinem index Daten der Music Multimedia und Photostations zu schaffen gemacht. Einfalltor war dabei offensichtlich die Optware.sh, da diese als erstes gelesen wurde. Ich werde nun für die nächste Zeit auch mal ein inotifywait für mein Webfolder erstellen um zu sehen wo da was schief läuft.


    In der Zwischenzeit wäre es super, wenn jemand die index.php Files der photostation, multimediastation und der videostation schicken/hochladen könnte, die Pfade stehen unten. Ich bin auf der 3.8.1 20121205 mit einer TS 569L (Die NAS sollte aber eigentlich keine Rolle spielen, solang es die x86 Version ist).



    Grüße,


    Acid

    Zitat von "AcidBurns87"

    Habe seit längerem auf meiner NAS Standardmäßig beim Booten die inotifywait option angeschaltet,


    Könntest du das mal näher erläutern, was du wo und wie gemacht hast?

    Zitat von "AcidBurns87"

    Da hat sich irgendjemand an meinem index Daten der Music Multimedia und Photostations zu schaffen gemacht.


    In deiner Betrachtung fehlen irgendwie sämtliche Systemdateien und Skripte. Ich gehe mal davon aus, dass es der mymediadbserver ist, der die Modifikationen vornimmt. Die optware.sh hat damit sicher nichts zu tun.

    Zitat von "AcidBurns87"

    In der Zwischenzeit wäre es super, wenn jemand die index.php Files der photostation, multimediastation und der videostation schicken/hochladen könnte,


    Günstiger wäre es, wenn du deine index.php auf einem externen Medium speicherst und nach einer solchen Modifikation, wie du sie oben beschreibst, mit den entsprechenden Dateien vergleichst. So kannst du gezielt herausfinden, was eventuell modifiziert wurde.

    Hallo,


    da die index.php ja nun schon modifiziert wurde will ich ausschließen, dass dort irgendein code snipplet drin ist, was meine Daten ausliest sobald ich mich einlogge oder ähnliches.
    Da die Datei aber recht umfangreich ist habe ich keine Lust jede Zeile zu Prüfen und würde lieber einfach die Daten mit Notepad++ vergleichen. Das zeigt mir dann sofort veränderte Passagen an.


    Ein Tutorial wie man inotifywait anmacht erstelle ich am Wochenende.


    Grüße,


    Acid

    Zitat von "AcidBurns87"

    da die index.php ja nun schon modifiziert wurde


    Hab mir jetzt mal bei mir die Besagten Files angeschaut. Diese werden über QNAP Scripts modifiziert und zwar dann, wenn eine der Stationen enabled/disabled bzw. de-/installiert wird.