[Malware/Virus] Shellshock-Fix 1.0.2 / pnscan

    Zitat von "flower1978"

    Menno, du hast echt was drauf.


    Jip, wenn wir den Dr. hier nicht hätten wäre so manchen nicht geholfen worden.....

    danke danke, dr. mike....
    und tut mir leid wegen der verwechslung - habe eher patrick im englischen forum gemeint.


    Zitat von "dr_mike"

    Das sind die Dinge, die ich bisher herausfinden konnte. Vermutlich ist das noch nicht alles.


    oii, das beruhigt den magen :shock: ....und die firmware einfach ganz zu löschen und dann ein recovery machen?
    gruss aus wien,
    manfred

    Einmal editiert, zuletzt von dr_mike () aus folgendem Grund: Quote hinzugefügt.

    Zitat von "MRudy"

    danke danke, dr. mike....
    und tut mir leid wegen der verwechslung


    Bitteschön und kein Problem. ;)


    Zitat von "MRudy"

    und die firmware einfach ganz zu löschen und dann ein recovery machen?


    Ich denke, der Ansatz im Link über Deinem Beitrag ist schon ganz gut. Ich will mit meiner Aussage auch nicht noch weitere Panik verbreiten. Nur anmerken, dass ich eventuell was übersehen haben könnte. Die eigentliche FW im Flash (initrd, RAM-Filesystem) scheint bei dieser Atacke noch nichts abbekommen zu haben. Wäre auch schon einiger Aufwand.
    Aber die Hacker schlafen nicht. Wenn die ein System einmal ins Visier genommen haben, dann werden die immer besser.

    Was mich noch ein wenig irritiert bei der Anleitung von Qnap ist die Methode 2. Hier wird ja nicht das komplette NAS platt gemacht, sondern nur die entsprechenden Veränderungen rückgängig gemacht.
    Eines fehlt mir allerdings in der Liste: der veränderte SSH. Wird dieser dann mit dem FW-Update erneuert, oder hat man den hier vergessen?

    Zitat von "Drauka"

    Eines fehlt mir allerdings in der Liste: der veränderte SSH. Wird dieser dann mit dem FW-Update erneuert, oder hat man den hier vergessen?


    Im Grunde nicht vergessen,
    der SSH-Server liegt in der RAM-Disk,
    diese wird bei einem Neustart aus dem Flash kopiert, durch das Firmware-Update und nachfolgendem Neustart somit wieder bereinigt.

    Zitat von "Eraser-EMC2-"

    der SSH-Server liegt in der RAM-Disk,


    Nicht bei ARM-NAS. Dort wird das Verzeichnis /mnt/ext/usr nach /usr verlinkt.
    Deshalb nach der Aktion nochmal alles überprofen.

    Zitat von "dr_mike"

    Nicht bei ARM-NAS. Dort wird das Verzeichnis /mnt/ext/usr nach /usr verlinkt.


    Ist schon komisch, aber du hast Recht. :thumb:
    ich hätte mir alle meine ARM-NAS anschauen sollen.
    Zur Zeit habe ich Zugriff auf 3 verschiedene ARM-NAS mit jeweils Firmware 4.1.2 und auf dem neuesten NAS ist es kein Symlink. :engel:

    Ich habe mir die Anleitung angesehen und wollte das demnächst in Angriff nehmen. Als die Probleme mit meinem NAS anfingen, hatte ich ja auf die Firmware 4.1.1 build 1101 geupdatet. Wenn ich nun nach Methode 1 vorgehe, sollte mein NAS ja wieder auf den Werkseinstellungen sein, also Firmware 2.x, richtig? Das heisst sobald ich meine HDD's unmounted (Punkt 6) habe, stecke ich beide HDDs wieder rein und greife mit dem Browser darauf zu. Wenn ich die HDDs neu einrichte, wird ja alles gelöscht. Reicht das oder wäre es besser die HDDs vorher am PC mehrfach zu formatieren? Danach einfach wieder die aktuellste Firmware installieren und das sollte es gewesen sein, richtig?
    Wie ich hier gelesen habe, wird der SSH-Server nach dem Neustart neu geladen. Also sollte dies dann auch wieder richtig sein?

    Zitat von "player83"

    Wenn ich nun nach Methode 1 vorgehe, sollte mein NAS ja wieder auf den Werkseinstellungen sein, also Firmware 2.x, richtig?


    Nicht richtig. Das NAS is immernoch auf FW 4.1.1.

    Zitat von "player83"

    Das heisst sobald ich meine HDD's unmounted (Punkt 6)


    Das hast du falsch verstanden, Deine Platten sind zu dem Zeitpunkt gar nicht im NAS. Im Punkt 6 wird der Konfigurationsbereich des Flash gemountet, die autorun.sh gelöscht und anschliessend der Flash wieder unmountet.


    Zitat von "player83"

    Reicht das oder wäre es besser die HDDs vorher am PC mehrfach zu formatieren?


    Wenn du ganz sicher gehen willst, kannst du am PC alle Partitionen der Platten entfernen (Ablauf siehe unten). Formatieren ist unnötig und kontraproduktiv.


    Hier nochmal die Schritte im einzelnen:
    VORHER WICHTIGE DATEN SICHERN!!! ALLE DATEN AUF DEN PLATTEN WERDEN GLÖSCHT!!!
    1. Nas ausschalten
    2. alle Platten aus dem NAS entfernen
    3. aktuelle FW von QNAP auf den PC herunterladen http://www.qnap.com/i/de/product_x_down/
    4. internetverbindung zum NAS trennen (z.B. DSL Leitung am Router abziehen - dhcp bleibt erhalten oder NAS direkt an PC anschliessen dann ist die IP manuell einzustellen)
    5. NAS ohne Platten starten
    6. per SSH z.B. mit Putty auf das NAS verbinden (User:admin; PW:admin)
    7. autorun.sh löschen mit folgenden Befehlen:
    ARM-NAS (ausser x31):

    Code
    mount -t ext2 /dev/mtdblock5 /tmp/configrm -f /tmp/config/autorun.shumount /tmp/config


    Intel-NAS (sdX6 kann man ermitteln mit /cat/proc/partitions oder fdisk -l):

    Code
    mount /dev/sdX6 /tmp/config
rm -f /tmp/config/autorun.sh
umount /tmp/config


    9. NAS ausschalten
    8. alle Platten nacheinander mit USB-Adapter etc. an Rechner anschliessen und alle Partitionen entfernen
    9. Platten in NAS einsetzen und das NAS starten
    10. Konfiguration des NAS wie bei einem Neugerät (wenn nach der Firmware gefragt wird, die unter Punkt 3 heruntergeladene verwenden)
    11. nach erfolgreicher Konfiguration Internetverbindung wieder herstellen

    Super, danke dr_mike für die genaue Auflistung. :thumb:


    2 Fragen habe ich noch:


    1. Ich habe Raid 0. Mit welchem Tool entfernt man am besten die Partition? Mit Windows Boardmitteln dürfte es bei EXT-Formatierung nicht gehen, oder?


    2. Ich habe bereits 4.1.1 build 1101 installiert. Trotzdem am Schluss nochmals neu installieren?

    Zitat von "player83"

    Mit Windows Boardmitteln dürfte es bei EXT-Formatierung nicht gehen, oder?


    Das spielt keine Rolle, wie die Partition formatiert wurde, ob NTFS oder ext4. Windows kann die Partition löschen.


    Zitat von "player83"

    Trotzdem am Schluss nochmals neu installieren?


    Ja, es ist zwar der Basisteil der Firmware im Flash, aber die zusätzlichen Dienste und Konfiguration finden im Flash kein Platz,
    daher wird die Firmware bei einer Neueinrichtung (leere festplatten) neu installiert.

    Danke vielmals! Jetzt muss ich mir noch einen USB-SATA Adapter besorgen. Oder kann ich die HDD direkt per SATA anschliessen? Oder geht das dann nicht, wegen der ext4-Formatierung?

    Wenn dein PC noch einen freien internen SATA-Anschluß hat, kannst du dort die Festplatte anschließen.
    Wie Drauka schon schrieb, spielt die Formatierung hier auch keine Rolle.

    :thumb:
    Danke euch! Dann kann ich dies die Tage in Angriff nehmen.

    Hallo


    Gibt es irgendwo eine genauere Anleitung für das Löschen des Befalls? Nur der Fix alleine Genügt ja nicht. Danke an Eraser-EMC2. :D


    Kann mir jemand die Auswirkungen bei Nicht-Behebung der Manipulation erklären?


    Habe den User gelöscht, keinen PNScan in Prozessliste und port forwarding auf Router komplett aus dem Programm genommen.


    Da ich wirklich keine grossen Kommandozeilen Kenntnisse von Linux besitze realtiv schwierig auf OS-Ebene zuzugreifen. (Mit Putty habe ich es geschafft, aber dann??) oder gibt es eine andere Möglichkeit auf die Linux-Kiste zuzugreifen? FTP etc...?



    Merci und Grüsse


    u117783