[Malware/Virus] Shellshock-Fix 1.0.2 / pnscan

    Zitat von "Eraser-EMC2-"

    Ich denke schon, das Windows Virenscanner nach allen Virentypen suchen.


    Glaube ich nicht, da Windows den Programmcode z.B. eines ARM-NAS kaum verstehen wird.


    Zitat von "Eraser-EMC2-"

    Laut dem logfile startet es einen eigenen SSH-Server auf Port 26


    Nicht nur das, vorher wird ja in der autorun.sh der sshd ausgetauscht. Somit läuft auch der normale SSH-Zugang über den modifizierten sshd. Dieser wiederum bringt seine eigene Crypto-Bibliothek mit. Was das heisst, kannst Du Dir ausrechnen.


    Zitat von "player83"

    Wenn ich alles neu aufgesetzt habe, wie prüfe ich, ob alles wieder i.O. ist?


    Zuersteinmal ob die offensichtlichen Modifikationen wieder auftauchen:
    - optware Ordner mit den speziellen Unterordnern
    - pnscan Programm
    - eine autorun.sh, die man nicht selbst angelegt hat
    dann durch Überprüfen
    - der Prozessliste mit ps
    - der verwendeten Resourcen mit lsof
    - Netzwerkstatus mit netstat

    Zitat von "player83"

    Kann man das einfach überprüfen?


    Ehrlich gesagt - Nein! Oder anders ausgedrückt - Es kann niemand zu 100% sagen, dass sein Rechner clean ist. ;)

    Zitat von "Drauka"

    Kurios ist aber, dass ich den entsprechenden pnscan-Prozess gar nicht habe.


    Das war bei player83 genauso.
    Es ist durchaus möglich, dass es unterschiedliche Versionen dieser Malware gibt. Möglich ist aber auch, dass sich Unterschiede durch verschiedene NAS-Typen ergeben.

    Zitat von "dr_mike"


    Damit wird ein Fullimage auf den Flash geschrieben. Wäre zumindest ein Ansatz, den ich auch schon wo anders erwähnte. Allerdings weiss ich nicht, ob auch der Konfigurationsbereich des Flash überschrieben wird. Das müsste man testen.


    Hier wird deine Frage beantwortet.
    Geht mir gleich. Ich sichere und prüfe noch meine Daten. Dann werde ich mein neues NAS aufsetzen und mich um das alte kümmern.

    Danke Euch!
    Bei mir wirds wohl noch bis zum WE dauern. Außerdem weiß ich noch gar nicht, wo ich scannen soll...
    Naja, man darf halt die Updates nicht ignorieren, das hab ich nun schmerzlich gelernt...

    Habe mich leider länger nicht mehr auf das NAS eingeloggt und das update daher nicht gesehen. Werde es aber in meinen wöchentlichen Netzwerkcheck nun miteinbeziehen.

    Ja, dass geht mir genau so. Meist habe ich mich über längere Zeit nicht mehr eingelogt, lief ja alles problemlos. Und wenn doch kurz, dann hatte ich keine Zeit und/oder Lust das Update durchzuführen. Das ist mir auch eine Lehre. In Zukunft werde ich das regelmässig prüfen und so bald als möglich installieren.
    Danke Smile99. Ich kann leider erst heute Abend weitermachen... das dauert auch noch ein Weilchen. Freue mich schon auf deine Erfahrungen. Hoffe das es sich damit lösen lässt.

    Danach ist man immer schlauer (und in der Zukunft auch beschäftigter mit öfteren fw-updates).
    Nur....in Betracht dieser ernsten Shellshock-Bedrohung, wundert es mich, warum QNAP nicht alle Möglichkeiten ausgenutzt hat, um Ihre Kunden darüber zu informieren...z.B. an alle Foren-User (qnap.com), die dort mit email registriert sind (wie ich).

    Und ich frag mich wie viele ISPs sich derzeit mit diesem Thema rumärgern müssen, weil die User sich beschweren, dass ihr Internet nicht geht...

    Hallo,
    ich habe inzwischen bei meiner TS219p+ das Firmware recovery gemäß http://wiki.qnap.com/wiki/Firmware_Recovery gemacht,
    die Festplatten komplett gelöscht und die NAS neu aufgesetzt.
    Ich sehe jetzt keine Anzeichen mehr,dass das die Schadsoftware noch aktiv ist, kein pnscan mehr, etc.
    Jedoch habe ich noch immer die gleiche autorun.sh Datei im Flash, identisch mit der, die hier in diesem Thread schon
    gepostet wurde. Natürlich gibt es die optware-Verzeichnisse nicht mehr (die ja auf der Platte liegen) von denen aus
    kopiert wird....
    Dennoch würde ich gerne zumindest die autorun.sh durch eine nicht manipulierte ersetzen.
    Könnte die mal jemand posten?


    Gruß rabe65

    Zitat von "rabe65"

    Dennoch würde ich gerne zumindest die autorun.sh durch eine nicht manipulierte ersetzen.


    In einem frisch installierten System gibt es diese Datei noch nicht,
    daher kannst du diese bedenkenlos löschen.

    Löschen (danke an den Kollegen im englischen Forum):

    Code
    mount -t ext2 /dev/mtdblock5 /tmp/config
rm -f /tmp/config/autorun.sh
umount /tmp/config


    Er meinte es wäre gut, wenn man die schon vor dem FW-Recovery löscht!

    Zitat von "Drauka"

    Er meinte es wäre gut, wenn man die schon vor dem FW-Recovery löscht!


    So wissen wir zumindest jetzt ganz sicher, dass der Konfigurationsbereich bei einem Recovery nicht überschrieben und somit kein Full-Flash-Image aufgespielt wird.

    Als schlecht würde ich das nicht bezeichnen. Einfach die Autorun.sh löschen, dann Firmware-Recovery und gut ist.
    Gut, Daten müssen trotzdem runter, zur Sicherheit... das ist schlecht bzw. kostet Zeit.


    --- ModEdit ---


    Hat noch jemand die Schadsoftware drauf?


    Kann mal jemand schaun, was das Ding macht:


    Code
    cat /share/MD0_DATA/optware/.xpl/.exo.cgi


    ich hab es leider schon gelöscht....

    Einmal editiert, zuletzt von TobiasK () aus folgendem Grund: Doppelte Beiträge vermeiden, siehe Forenregeln. Bitte den "Ändern"-Button verwenden!

    Zitat von "dr_mike"


    So wissen wir zumindest jetzt ganz sicher, dass der Konfigurationsbereich bei einem Recovery nicht überschrieben und somit kein Full-Flash-Image aufgespielt wird.


    ein gedanken: und wenn man einfach den kompletten firmware code vorher löscht und dann die recovery macht? ist das denkbar oder irrsinnig??


    --- ModEdit ---


    hallo rabe,
    wie genau hast du die hdds gereinigt - nur die dateien gelöscht, neu formatiert, oder irgendeine "cleaning tool" verwendet?
    gruss,
    manfred

    2 Mal editiert, zuletzt von TobiasK () aus folgendem Grund: Zitat gekürzt. Volltextzitat entfert, siehe Forenregeln! Doppelte Beiträge vermeiden, siehe Forenregeln! Bitte den "Ändern"-Button verwenden'

    Ich habe mich heute auch daran gemacht, von den Dateien ein Backup (aktuelles) zu machen. Das backup auf die vorhandenen Backup Hdds habe ich mich getraut. Ich hoffe nur das die Dateien dann clean sind.


    Wa mir aufgefallen ist, wenn das nas nicht am nwtz ist, dann sind auch nicht die zwei pnscan prozesse in der prozessliste.


    Aber auch mich interessiert es, wie ich die zwei hdds platt mache. Formatieren oder was anderes und dann unter windows oder linux?

    Zitat

    dr_mike hat geschrieben:
    So wissen wir zumindest jetzt ganz sicher, dass der Konfigurationsbereich bei einem Recovery nicht überschrieben und somit kein Full-Flash-Image aufgespielt wird.


    In der Tat, das hat mich auch überrascht, wobei ich aber vermute, dass diese autorun.sh gar nicht gestartet wird. Ich habe nämlich z.B. definitiv keine ssh auf port 26.
    Es sei denn ... darüber möchte ich liebe nicht nachdenken...


    Zitat

    Drauka hat geschrieben:
    Er meinte es wäre gut, wenn man die schon vor dem FW-Recovery löscht!


    Im Prinzip ist das sicher sinnvoll. Aber da das FW-Recovery ohnehin mit ausgestöpselten Festplatten gemacht werden muss, funktioniert das Kopieren der Daten im autorun.sh
    ohnehin nicht mehr. Ich halte das Risiko für eher gering, wenn man das danach macht.
    Die viel kritischere Frage ist, gibt es außer dem autorun noch andere Stellen im Flash, die durch die Schadsoftware betroffen sind und durch das Recovery nicht überschrieben werden. Das wissen wir wohl im Moment nicht genau.


    Zitat

    MRudy hat geschrieben:
    hallo rabe,
    wie genau hast du die hdds gereinigt - nur die dateien gelöscht, neu formatiert, oder irgendeine "cleaning tool" verwendet?


    Cleaning Tools gibt es ja genug. Ich habe aber die Platten an meinen Windows PC angeschlossen und via diskpart (Windows7 Shell-Tool) mit "clean all" gelöscht. Das löscht die Partitionstabellen, den MBR und beschreibt auch alle Sektoren mit 0. Dauert aber je nach Schnittstelle und Plattengröße mehrere Stunden bis halben Tag. Die Platten werden dann ohnehin bei der Neuinstallation der NAS partitioniert und formatiert.