[Malware/Virus] Shellshock-Fix 1.0.2 / pnscan

    Danke dr_mike für die Analyse, da kommen wir ja schon mal einen kleinen Schritt weiter.
    Gibt es irgendwo infos darüber wie das Filesystem der NAS strukturiert ist und wo welche Teilbäume liegen - ich bin kein QNAP Firmeware Experte.
    Wo findet man genau das Flash-Config Device Dateibaum?
    Wenn QNAP bislang keine Möglichkeit angeboten hat den Flash neu zu schreiben, sollten wir vielleich mal direkt QNAP informieren...
    Gruß rabe65

    Das hört sich alles nicht sehr beruhigend an... habe mal alle datein die dr_mike in der autorun.sh vorkommen und ganz offenbar nicht ins system gehören gelöscht. Die Datein verraten dass er vermutlich über einen IRC nach hause telefoniert.
    ----
    Das wird nun auch von mir geblock. hier holt er sich ganz offenbar den pnscan her.
    http://wdwdwd.altervista.org/pnscanv5
    ----

    Einmal editiert, zuletzt von dr_mike () aus folgendem Grund: URL unschädlich gemacht

    Zitat von "player83"

    Nochmals Danke dr_mike, auch wenn ich jetzt unglaublich müde bin... :schnarch:


    Eigentlich wollte ich ja heute damit beginnen alles neu aufzusetzen, aber wenn ich das hier richtig lese, wird das alles bei mir nichts bringen, solange da nicht etwas von QNAP kommt, richtig? Hab nur keine Lust diesen riesigen Aufwand zu betreiben und danach geht es wieder von vorne los. Da bei mir in nächster Zeit sowieso ein grösseres und schnellere Nas ansteht, überlege ich mir das schon jetzt zu kaufen.


    Wollte auch damit heute anfangen aber....das hört sich alles unheimlich an - Mount/Dismount commands....nein, danke - kein Wunder, dass der Virus mit 10 eingestuft wurde.


    Habe heute mein Problem-Ticket an QNAP um diesen Punkt erweitert und um eine Stellungsnahme gebeten. Aber falls eine FLASH-Lösung nötig ist, wie lange kann jeder von uns wirklich warten???


    Mfg,
    Manfred

    Kurz "blöd" nachgefragt. Wo kann ich ein Ticket aufgeben? Hab nur die englische Seite gefunden. Was hast du da genau angegeben? Dann kann ich das auch noch nachholen.
    Übrigens, dass Ganze war nun auch ausschlaggebend, dass ich heute ein 451 bestellt habe. Ein Upgrade stand eh in den nächsten Wochen an und wenn ich dann das 219P+ (hoffentlich) wieder hinkriege, wird das für's Backup genutzt.

    Bin jetzt gerade dabei alles auf meinen Externen Platten zu verteilen, die Daten werden dann von Scannern gecheckt.
    Spiele mit dem Gedanken das NAS ja doch weite zu verwenden.
    Ich will mir zwar auch demnächst ein neues Teil zulegen, aber wollte das eigentlich im Frühjahr dann angehn.


    Werde dann nochmals alles Plätten mit eine paar Ideen im Hintergrund... werde mit dem Sichern wohl noch bis 23:30 brauchen... dann geh ichs mal wieder an...
    Hat jemand Erfahrung bzw. Infos wie lange QNAP für die Lösung ca. brauchen wird?
    lg.

    Da habe ich keine Erfahrung.
    Mit was checkst du die Daten? Virenscanner? Ich kann mir schwer vorstellen, dass der da etwas in der Richtung findet. Habe ich gestern Abend über Nacht laufen lassen und heute Morgen war alles sauber.

    Zitat von "player83"

    Kurz "blöd" nachgefragt. Wo kann ich ein Ticket aufgeben?


    Problembeschreibung an:


    helpdesk@qnap.com


    EDIT: Ticket mit User-Info erst unter
    http://helpdesk.qnap.com/ abgeben....dann läuft es mit o.g. Email-Adresse.



    erfasst habe ich die nachricht auf englisch - zurück kam die antwort von einem techniker auf deutsch. Die vollständige nachricht:



    3 Mal editiert, zuletzt von MRudy ()

    Zitat von "MRudy"

    Scheinbar ist auch der ROM möglicherweise Opfer der Attacke...


    Nicht der ROM sondern der Flashspeicher oder das DOM - je nach NAS-Typ.

    Zitat von "dr_mike"


    Nicht der ROM sondern der Flashspeicher oder das DOM - je nach NAS-Typ.


    na gut, DOM (aus meinen alten Zeiten kannte ich nur Read Only Memory chips, die man "flashte")
    ....hoffe nur der Techniker verfolgt das ganze Thread hier.


    Gruss,
    Manfred

    Zitat von "Eraser-EMC2-"

    nach der Autorun.sh liegen alle Daten in /share/MD0_DATA/optware.
    Mit dem löschen des Ordners sollte der Spuk vorbei sein.


    Leider nein, es gibt noch mehr Ordner und Änderungen. Ich habe gestern Nacht nur mal grob drüber geschaut und nicht alles ermitteln können. So war ich z.B. nicht in /etc und auch den ganzen Zweig /mnt und /usr habe ich nicht angeschaut. player83 und auch ich mussten ja schliesslich irgendwann mal ins Bett. ;)
    Im Anhang mal ein Transcript, was ich alles geschaut habe, falls es wen interessiert.


    Zitat von "player83"

    http://wiki.qnap.com/wiki/Firmware_Recovery
    Wird damit auch der Flash-Speicher neu geschrieben? Oder muss ich mich damit an Qnap wenden und hoffen?


    Damit wird ein Fullimage auf den Flash geschrieben. Wäre zumindest ein Ansatz, den ich auch schon wo anders erwähnte. Allerdings weiss ich nicht, ob auch der Konfigurationsbereich des Flash überschrieben wird. Das müsste man testen.


    Zitat von "Smile99"

    Bin jetzt gerade dabei alles auf meinen Externen Platten zu verteilen, die Daten werden dann von Scannern gecheckt.


    Hiezu sollte wenigstens ein Linux-Live-System verwendet werden. Virenscanner mit Windows-Signaturen dürften nichts finden - es sei denn, das NAS soll auch dazu dienen angeschlossene Rechner zu infizieren.

    Zitat von "dr_mike"

    Hiezu sollte wenigstens ein Linux-Live-System verwendet werden. Virenscanner mit Windows-Signaturen dürften nichts finden - es sei denn, das NAS soll auch dazu dienen angeschlossene Rechner zu infizieren.


    Ich denke schon, das Windows Virenscanner nach allen Virentypen suchen.
    Jedoch püft der Virenscanner auf dem NAS nur die freigaben, aber nicht die Systembereiche, soweit wie ich es überblicken konnte,
    daher müßte man manuell auch eine "Root"-Freigabe erstellen, um dies zu ermöglichen.


    Zitat von "dr_mike"

    Im Anhang mal ein Transcript, was ich alles geschaut habe, falls es wen interessiert.


    Das werde ich mir mal anschauen, da es mich auch interessiert.

    Laut dem logfile startet es einen eigenen SSH-Server auf Port 26 und zusätzlich zwei andere Programme

    Code
    /share/MD0_DATA/optware/.xpl/.cgi
/share/MD0_DATA/optware/.xpl/run &
/usr/sbin/sshd -f /etc/ssh/sshd_confg -p 26 &
    Zitat von "dr_mike"


    Damit wird ein Fullimage auf den Flash geschrieben. Wäre zumindest ein Ansatz, den ich auch schon wo anders erwähnte. Allerdings weiss ich nicht, ob auch der Konfigurationsbereich des Flash überschrieben wird. Das müsste man testen.


    Ich prüfe und sichere derzeit meine Daten. Morgen sollte ich mein neues NAS erhalten, welches ich dann als erstes in Betrieb nehmen werde, um wieder normal arbeiten zu können. Sobald alles stabil läuft, widme ich mich dann dem 219P+.


    Wenn ich alles neu aufgesetzt habe, wie prüfe ich, ob alles wieder i.O. ist? Bitte bedenkt, dass ich keine tiefen Kenntnisse bezüglich Linux, Putty, etc. habe. Kann man das einfach überprüfen? Alleine am Datentraffic ist zu wage...

    geduld ist anscheinbar angesagt - bis man endgültig eine "lösung" hat, inkl. feedback von qnap.
    ich habe sicher keine lust, alle qkpg-apps (xdove, myphpadmin, etc.) umsonst zu installieren ... ohne licht am ende des tunnels.
    (ausserdem, muss ich auf den heute bestellten hdd-usb-adapter warten - soviel scheint sicher :shock: )

    Ich wuerde auf slimserver.pl tippen, denn der laeuft unter einem anderen User als admin. Und standartmaessig unterstuetzt das NAS auch kein Perl. Das musst oder jemand anderes installiert haben.


    Edit:
    Habe nochmal gegooglet. Der scheint wohl doch harmlos zu sein und mit der Squeezebox zusammenzuhaengen :oops:

    Ja Squeezebox läuft auf dem NAS. :)


    Ich habe auf jeden Fall auch die kuriosen Einträge die dr_mike bei player83 gefunden hatte. (bin jetzt per Telnet drauf).
    Sprich:

    Code
    [/share/MD0_DATA/optware/.xpl] # ll
drwxr-xr-x    2 admin    administ      4.0k Dec  8 02:12 ./
drwxr-xr-x    5 admin    administ      4.0k Dec  8 02:19 ../
-rwxr-xr-x    1 admin    administ     80.0k Nov 27 01:49 .cgi*
-rwxr-xr-x    1 admin    administ     26.5k Dec  8 02:07 .exo.cgi*
-rw-r--r--    1 admin    administ     26.5k Dec  6 00:43 armgH.cgi
-rwxr-xr-x    1 admin    administ       523 Dec  6 01:44 run*


    Und auch der pnscan ist da, auch wenn er nicht aktiv zu sein scheint momentan.


    Na dann schaun wir mal...