[Malware/Virus] NAS legt nach ShellshockFix Netzwerk lahm

    Hallo,
    ich habe eine Qnap PS-219P+ die seit drei Jahren problemlos in meinem Heimnetzwerk mit mehrern Internetgeräte läuft.
    Ich habe die Firmware 4.0.1 drauf (also nicht die aktuellste).
    Heute nacht wurde automatisch (ohne mein Zutun) der ShellshockFix 1.0.2 installiert. Die QNAP hat darauf hin neu gestartet.


    Seit dem legt sie mein Netzwerk lahm. Wenn die Qnap im Netz ist, führt das dazu dass keine Internetverbindung mehr von
    irgendeinem Netzwerkgerät NACH AUßEN möglich ist. Selbst der Browerzugang zur Fritzbox ist blockiert. Jedoch ist der
    Zugriff auf die QNAP-Shares weiterhin möglich. Es sieht also so aus, als würde die QNAP das Netzwerk auf irgendeine Weise stören.


    Ist die QNAP vom Netz funktioniert der Internetzugriff nach außen einwandfrei. Ich vermute einen Zusammenhang mit dem ShellshockFix.
    Kann das jemand bestätigen?


    Gruß Ralph

    Zitat von "rabe65"

    Kann das jemand bestätigen?


    Nach dem, was durch den tatsächlichen Fix installiert wird, kann es daran nicht liegen.


    Da Du schreibst

    Zitat von "rabe65"

    mit mehrern Internetgeräte läuft.

    vermute ich mal, dass die NAS-Weboberfläche über das Internet erreichbar ist.
    In diesem Fall kannst du zu 99% davon ausgehen, dass das NAS hijacked wurde.

    Zitat von "rabe65"

    Heute nacht wurde automatisch (ohne mein Zutun) der ShellshockFix 1.0.2 installiert.


    Das passiert nicht ohne Zutun, was meine vorige Vermutung nur bestätigt und zudem davon auszugehen ist, dass dieser angebliche Fix ein Schadprogramm sein könnte.

    Danke, das vermute auch, da ich inzwischen festgestellt habe, dass die NAS permanent ca. 100KB/s Daten sendet.
    Ich habe die akuelle Firmeware neu installiert, aber da das Problem hat kurz nach dem Start erneut begonnen.
    Wenn die NAS gehijackt wurde - wie bekomme ich sie wieder sauber, wenn das Neuinstallieren der Firmware nicht hilft - ohne die
    Festplatten neu zu formatieren...
    Danke für die Hilfe
    rabe65

    Ich würde erstmal alle Portweiterleitungen zum NAS und
    den Gateway und DNS-Eintrag auf dem NAS entfernen,
    damit es nicht nach "Hause" telefonieren kann.
    Dann die Crontab und das autostart-Script bzw. die qpkg.conf auf unbekannte Einträge überprüfen.

    Das beseitigt aber noch nicht einen potentiell vorhandenen Schädling. Hier sind radikal die Platten zu löschen und das System neu aufzusetzen. Siehe dazu auch hier.

    Danke für den Link - aber genau das habe ich mir inzwischen auch überlegt.
    Mein Verdacht ist, dass ich eine relativ neue Schadsoftware über die nicht geschlossene ShellShock Lücke (meine eigene Nachlässigkeit) eingefangen habe.
    Somit bleibt nichts anderes übrig...

    Hallo Community,


    Habe anscheinbar das gleiche Problem - seit gestern lief mein Internet "komisch". Den ganzen Tag verbrachte ich alle Komponenten, ISP-Hotline, etc. zu prüfen bis ich drauf gekommen bin, dass es bei meinem TS-219P liegt. Sobald ich den anschliesse, wird die Internet-Verbindung unregelmässig. Habe die neue Firmware 4.1.1 (als Update zu vorheriger 4.1.0) heute installiert - Problem noch vorhanden. Normale LAN-Verbindung zu NAS funktioniert, nur die Internet-Verbindung wird beeinflusst.


    Habe dann auch gemerkt, dass vor 2 Tagen, spät....im NAS-Protokoll..."Error: ShellshockFix 1.0.2 installation failed"....hmmm, dachte ich....ohne meine Anordnung, irgendetwas installieren zu wollen.


    Gibt es eine einfache "Reinigungs-Lösung"?


    Gruss,
    Manfred

    Hallo habe heute herrausgefunden, das ich das selbe Problem habe.


    Bin bei Vodafone und habe dadurch kein Telefon und Internet mehr gehabt. Easybox wurde dadurch lahmgelegt.


    Was für einen Rotz haben wir uns da eingefangen?


    Gruß
    ANdreas

    Patch gibt es seit Oktober auf der QNAP-Homepage - allerdings scheint das eine Verteidigungslösung VOR dem Angriff - bin gerade dabei die Firmware eine Spur rückwärts zu installieren, dann Patch, reboot reboot.
    Aber ich glaube den Wurm wird noch drin sein....einmal drin, immer drin....bevor man irgendwas was bei dem cgi-script o.ä. ändert....eine Vermutung. Qnap sollte auch ein FixPatch anbieten für die Beschädigten...
    Gruss,
    Manfred

    Zitat von "MRudy"

    Qnap sollte auch ein FixPatch anbieten für die Beschädigten...


    Wie soll das bitte gehen??
    QNAP ist kein Antiviren-Software-Hersteller.


    Zitat von "MRudy"

    eine Verteidigungslösung VOR dem Angriff


    Genau so ist es. Dieses QFix hat eine Sicherheitslücke geschlossen. Konnte diese Lücke vorher ausgenutzt werden, dann kannst Du davon ausgehen, dass das NAS nicht mehr unter Deiner Kontrolle ist.

    So, ich bin das Schadverhalten jetzt losgeworden - traue dem Frieden aber nicht.


    Auch bei mir war letztendlich auch pnscan aktiv und wohl für den Traffic (im Prinzip eine interne DoS-Attack auf die Fritzbox) verantwortlich.
    Ich habe die NAS vom Netz getrennt und via PC (OHNE Internet Zugang) die aktuellste Firmware (natürlich zuvor mit Internetzugang downgeloaded)
    nochmal auf die NAS aufgespielt (und natürlich gebootet). Jetzt ist der Traffic weg, genau so wie der pnscan Prozess (schon einen halben Tag lang - aber vom Internet isoliert).
    Trotzdem werde ich die NAS-komplett platt machen und neu Aufsetzen.


    Vielleicht hift das ja bei Euch Anderen mit demselben Problem - dann kann man zumindest in Ruhe ein Backup der Platten ziehen...


    Gruß rabe65

    War bei mir gestern nach einem Neustart für fast 24 Stunden auch so. Nsch einem Neustart sendete das Nas wieder.

    Habe auch alles zurückgesetzt! KOMPLETT!!!!


    hat mehr als einen Tag gedauert... aber pnscan ist WIEDER DA! vor dem Anschluß ins Netz und Inet wurde die FW auch aktualiesiert...

    Habe seit gestern das gleiche Problem, deshalb herzlichen Dank für diesen Thread.
    Sehe ich das richtig, dass selbst ein kompletter Neuanfang hier nichts bringt?
    Noch irgendwelche Ideen?
    Danke.