Liebe Gemeinde!
Lange war ich stiller Mitleser, jetzt wende ich mich mit einem Problem an euch. Vorneweg: ich habe bereits ein Ticket eröffnet und warte seit 7 Tagen auf eine Antwort.
Leider war das NAS für eine kurze Zeit direkt aus dem Internet erreichbar, die Probleme folgten aufgleich. Ein Verschwinden des Ressourcenmanagers wurde mit dem Malware Remover, neuen Passwörtern und einem vollständigen Reset des Systems gelöst. Nun habe ich noch immer den Verdacht, dass das NAS noch nicht sauber ist, da bei jedem Reboot Malware vom Malware Remover gefunden wird und davor das Programm QcloudSSLCertificate 2.0.25 installiert wird, obwohl es von mir bereits mehrmals händisch entfernt worden ist. Das System ist leer, es wurde noch kein Backup zurückgespielt. Zusätzlich erneuert sich ein gelöschter crontab Eintrag, welcher auf ein interessantes Skript verweist. Ein Auszug aus dem Skript ist anbei. Zusätzlich gab es eine weitere Fehlermeldung, der Screenshot ist unten zu finden.
Habt ihr Ideen?
Herzlichen Dank für eure Zeit!
Es ist ein TS-431+, 4.3.30210 20170606er Build.
Maleware Remover 2.1.2
Hier die Zusammenfassung:
Nach vollständigem Reset nach einer Infektion findet der Malware Remover regelmäßig nach jedem Reboot Malware zusätzlich installiert sich QcloudSSLCertificate 2.0.25 selbstständig.
Hier die Logs:
Information 2017/06/19 14:31:51 System 127.0.0.1 localhost [MalwareRemover] Scan completed and malware deleted.Information 2017/06/19 14:31:47 System 127.0.0.1 localhost [MalwareRemover] Malware removed: /tmp/config/arm.tar.gzInformation 2017/06/19 14:31:47 System 127.0.0.1 localhost [MalwareRemover] Malware removed: /tmp/config/autorun.shInformation 2017/06/19 14:30:57 System 127.0.0.1 localhost [App Center] QcloudSSLCertificate enabled.Information 2017/06/19 14:30:57 System 127.0.0.1 localhost [App Center] QcloudSSLCertificate 2.0.25 has been installed in /mnt/ext/opt/QcloudSSLCertificate successfully.
crontab -l# m h dom m dow cmd0 2 * * * /sbin/qfstrim0 3 * * 0 /etc/init.d/idmap.sh dump0 4 * * * /sbin/hwclock -s0 3 * * * /sbin/vs_refresh0 3 * * * /sbin/clean_reset_pwd0-59/15 * * * * /etc/init.d/nss2_dusg.sh30 7 * * * /sbin/clean_upload_file0-59/10 * * * * /etc/init.d/storage_usage.sh30 3 * * * /sbin/notice_log_tool -v -R*/10 * * * * /sbin/config_cache_util 010 15 * * * /usr/bin/power_clean -c 2>/dev/null0 3 * * * /share/CACHEDEV1_DATA/.qpkg/MalwareRemover/MalwareRemover.sh start0 0 * * 0 /sbin/storage_util --data_scrubbing raid_id=-1 >/dev/null 2>&10 9,21 * * * /sbin/notify_update -m -s -p 1>/dev/null 2>&14 3 * * 3 /etc/init.d/backup_conf.sh31 14 * * * /mnt/ext/opt/QcloudSSLCertificate/bin/ssl_agent_cli
Skript:
/mnt/ext/opt/QcloudSSLCertificate/QcloudSSLCertificate.sh
#!/bin/sh
export QNAP_QPKG="QcloudSSLCertificate"
CONF=/etc/config/qpkg.conf
QPKG_NAME="QcloudSSLCertificate"
QPKG_DIR=`/sbin/getcfg -f /etc/config/qpkg.conf $QPKG_NAME Install_Path`
OLD_QPKG_DIR=`/sbin/getcfg -f /etc/config/qpkg.conf $QPKG_NAME Old_Install_Path`
QPKG_CLI=${QPKG_DIR}/bin/ssl_agent_cli
CERTIFICATE_CONF_DIR=/etc/config/${QPKG_NAME}
LOG_CONF_DIR=/etc/logs/${QPKG_NAME}
QCLOUD_RESET_SCRIPT_PATH=/tmp/.qcloud-reset-script
function do_backup_certificate() {
# backup old certificate data, if install path not the same
if [ "$OLD_QPKG_DIR" != "" ] && [ "$OLD_QPKG_DIR" != "$QPKG_DIR" ]; then
# backup certificate
/bin/mkdir -p $CERTIFICATE_CONF_DIR
/bin/cp -r $OLD_QPKG_DIR/cert $CERTIFICATE_CONF_DIR
/bin/cp -r $OLD_QPKG_DIR/data $CERTIFICATE_CONF_DIR
# manual remove old qpkg
/bin/rm -rf $OLD_QPKG_DIR
# set current qpkg path to old install path
/sbin/setcfg -f /etc/config/qpkg.conf $QPKG_NAME Old_Install_Path $QPKG_DIR
fi
}
Alles anzeigen