Malware Remover findet nach Reboot Malware, reproduzierbar

  • Liebe Gemeinde!


    Lange war ich stiller Mitleser, jetzt wende ich mich mit einem Problem an euch. Vorneweg: ich habe bereits ein Ticket eröffnet und warte seit 7 Tagen auf eine Antwort.


    Leider war das NAS für eine kurze Zeit direkt aus dem Internet erreichbar, die Probleme folgten aufgleich. Ein Verschwinden des Ressourcenmanagers wurde mit dem Malware Remover, neuen Passwörtern und einem vollständigen Reset des Systems gelöst. Nun habe ich noch immer den Verdacht, dass das NAS noch nicht sauber ist, da bei jedem Reboot Malware vom Malware Remover gefunden wird und davor das Programm QcloudSSLCertificate 2.0.25 installiert wird, obwohl es von mir bereits mehrmals händisch entfernt worden ist. Das System ist leer, es wurde noch kein Backup zurückgespielt. Zusätzlich erneuert sich ein gelöschter crontab Eintrag, welcher auf ein interessantes Skript verweist. Ein Auszug aus dem Skript ist anbei. Zusätzlich gab es eine weitere Fehlermeldung, der Screenshot ist unten zu finden.
    Habt ihr Ideen?


    Herzlichen Dank für eure Zeit!



    Es ist ein TS-431+, 4.3.30210 20170606er Build.
    Maleware Remover 2.1.2


    Hier die Zusammenfassung:


    Nach vollständigem Reset nach einer Infektion findet der Malware Remover regelmäßig nach jedem Reboot Malware zusätzlich installiert sich QcloudSSLCertificate 2.0.25 selbstständig.



    Hier die Logs:


    Code
    Information 2017/06/19 14:31:51 System 127.0.0.1 localhost [MalwareRemover] Scan completed and malware deleted.Information 2017/06/19 14:31:47 System 127.0.0.1 localhost [MalwareRemover] Malware removed: /tmp/config/arm.tar.gzInformation 2017/06/19 14:31:47 System 127.0.0.1 localhost [MalwareRemover] Malware removed: /tmp/config/autorun.shInformation 2017/06/19 14:30:57 System 127.0.0.1 localhost [App Center] QcloudSSLCertificate enabled.Information 2017/06/19 14:30:57 System 127.0.0.1 localhost [App Center] QcloudSSLCertificate 2.0.25 has been installed in /mnt/ext/opt/QcloudSSLCertificate successfully.


    Code
    crontab -l# m h dom m dow cmd0 2 * * * /sbin/qfstrim0 3 * * 0 /etc/init.d/idmap.sh dump0 4 * * * /sbin/hwclock -s0 3 * * * /sbin/vs_refresh0 3 * * * /sbin/clean_reset_pwd0-59/15 * * * * /etc/init.d/nss2_dusg.sh30 7 * * * /sbin/clean_upload_file0-59/10 * * * * /etc/init.d/storage_usage.sh30 3 * * * /sbin/notice_log_tool -v -R*/10 * * * * /sbin/config_cache_util 010 15 * * * /usr/bin/power_clean -c 2>/dev/null0 3 * * * /share/CACHEDEV1_DATA/.qpkg/MalwareRemover/MalwareRemover.sh start0 0 * * 0 /sbin/storage_util --data_scrubbing raid_id=-1 >/dev/null 2>&10 9,21 * * * /sbin/notify_update -m -s -p 1>/dev/null 2>&14 3 * * 3 /etc/init.d/backup_conf.sh31 14 * * * /mnt/ext/opt/QcloudSSLCertificate/bin/ssl_agent_cli

    Skript:
    /mnt/ext/opt/QcloudSSLCertificate/QcloudSSLCertificate.sh

  • Ich würde hier nicht lange fackeln und die Platten raus nehmen, an einen PC hängen und alle darauf befindlichen Partitionen entfernen, nicht formatieren. Anschliessend kannst Du das NAS wieder jungfräulich aufbauen.

  • Das befürchte ich auch. Zuerst einmal Plätten, dann sehe ich weiter. Ich halte euch am Laufenden.


    Habt ihr für das fortgeschrittene Problem noch andere Hinweise außer dieser Guide?


    LG und danke für eure Antworten!


    Hallo ihr!


    Ich habe mich für einen kompletten Fw reset entschieden, nur leider komme ich nicht in den Recovery-Modus des TS-431+. Laut Anleitung sollte nach dem längeren Drücken der Copy-Teste das System in diesem Modus starten (erkennbar an der Rot leuchtenden LED), das passiert nicht, denn es blinkt nach einer längeren Zeit nur grün. Die Copy-Taste funktioniert aber. Es folgt kein tftp request laut Wireshark. Die restliche Konfiguration passt: tftp-server läuft und lässt sich auch per shell abrufen -> demnach kann das Netzwerk und der Server ausgeschlossen werden.


    Habt ihr Ideen, bzw schon einmal ein TS-431+ DOM geflasht?
    Herzlichen Dank schon einmal!


    lg