Malware Remover 2.3.x-2.4.0 meldet "malware was detected"

kerlinggebrueder · 15. Juni 2018

Hallo liebes Forum,

seit Wochen meldet der Malware Remover "malware was detected". Man soll dann das Qnap neu starten. Die Meldung erscheint jedoch immer wieder.

Die Firmware des Qnap wurde immer aktuell gehalten. Der Stand der Malware App auch. Nun haben wir gestern das NAS auf Auslieferungszustand zurück

gesetzt und die Platten formatiert. Was soll ich sagen, die Meldung erscheint wieder. Alle unnötigen Dienste sind deaktiviert. Die Paßwörter wurden komplett

neu vergeben und die Anzahl der Stellen erhöht. Habt Ihr noch eine Idee?

Vielen Dank vorab für die Hilfe.

Mit freundlichen Grüßen

Jörn

christian · 15. Juni 2018

Hallo,

gibt es vom Malware Remover detaillierte Angaben im Log?

Grüße

Christian

kerlinggebrueder · 15. Juni 2018

Entschuldigt bitte,

selbstverständlich steht dazu was im Log:

Code

Typ	Datum	Uhrzeit	Benutzer	Quellen-IP	Computername	Inhalt
Warnung	2018/06/15	08:07:00	System	127.0.0.1	localhost	[MalwareRemover] Malware was detected and removed. You must restart the NAS.
Informationen	2018/06/15	08:06:59	System	127.0.0.1	localhost	[MalwareRemover] The following malicious file/folder was found and removed: /tmp/crn.edc
Informationen	2018/06/15	08:02:24	System	127.0.0.1	localhost	[App Center] Malware Remover enabled.
Informationen	2018/06/15	08:02:23	System	127.0.0.1	localhost	[App Center] Malware Remover 2.4.0 has been installed in /share/MD0_DATA/.qpkg/MalwareRemover successfully.
Informationen	2018/06/15	08:02:16	System	127.0.0.1	localhost	[MalwareRemover] Started scanning.
Informationen	2018/06/15	08:02:09	System	127.0.0.1	localhost	[App Center] Python enabled.
Informationen	2018/06/15	08:02:09	System	127.0.0.1	localhost	[App Center] Python 2.7.3 installation succeeded.
Informationen	2018/06/15	08:01:11	admin	31.16.116.122	---	[App Center] Music Station removed.
Informationen	2018/06/15	08:00:54	admin	31.16.116.122	---	[App Center] Python removed.
Informationen	2018/06/15	08:00:31	admin	31.16.116.122	---	[App Center] Malware Remover removed.
Warnung	2018/06/15	07:44:28	System	127.0.0.1	localhost	[MalwareRemover] Malware was detected and removed. You must restart the NAS.
Informationen	2018/06/15	07:44:27	System	127.0.0.1	localhost	[MalwareRemover] The following malicious file/folder was found and removed: /tmp/at.ecr
Informationen	2018/06/15	07:39:49	System	127.0.0.1	localhost	[MalwareRemover] The following infected file/folder was found and recovered: /home/httpd/cgi-bin/authLogin.cgi
Informationen	2018/06/15	07:39:46	System	127.0.0.1	localhost	[MalwareRemover] Started scanning.

Alles anzeigen

Was meint Ihr?

Jörn

eol1 · 15. Juni 2018

Was ist das denn für eine Meldung?

Code

[MalwareRemover] The following infected file/folder was found and recovered: /home/httpd/cgi-bin/authLogin.cgi

Was wird denn da recovered?

christian · 15. Juni 2018

Siehe u.a. https://www.exploit-db.com/exploits/40985/ Kann also gut sein das Malware im Spiel ist!

dr_mike · 15. Juni 2018

Zitat von Doc HT

Was wird denn da recovered?

Steht doch da!? /home/httpd/cgi-bin/authLogin.cgi

eol1 · 15. Juni 2018

Und warum? Was heißt das?

rednag · 15. Juni 2018

Die Frage ist doch auch welche Angriffsvektoren es gegeben hat. Offene Ports, Default Passwörter, Applikationen, Dienste etc.

christian · 15. Juni 2018

Hallo Jörn,

Ich habe deinen Beitrag heute QNAP gezeigt. Du sollst doch bitte ein Ticket erstellen und bitte die Logs nicht vergessen.

Gruß

Christian

dr_mike · 16. Juni 2018

Zitat von Doc HT

Und warum?

Weil wohl durch Schadcode modifiziert: [MalwareRemover] The following infected file/folder was found...

Zitat von Doc HT

Was heißt das?

...and recovered: /home/httpd/cgi-bin/authLogin.cgi Das heisst - Die Datei /home/httpd/cgi-bin/authLogin.cgi wurde wiederhergestellt.

eol1 · 16. Juni 2018

Was dann bedeutet, dass eine nicht-infizierte Datei irgendwo auf dem NAS liegt, und wiederhergestellt werden kann.

Wenn aber das NAS zuvor infiziert war, wie wird durch den Malware Remover sichergestellt, dass die Datei, die er wiederherstellt, sauber ist? Ist der Malware Remover so schlau, oder die Malware so dumm?

dr_mike · 16. Juni 2018

Ja, das NAS hat ja einen Flash/DOM. Dort liegen die Root-FS Images.

Zitat von Doc HT

wie wird durch den Malware Remover sichergestellt, dass die Datei, die er wiederherstellt, sauber ist?

Ich bin weder der Programmierer des Malwareremovers noch des Schadcodes. Daher kann ich erstmal nur mit einer Gegenfrage antworten: Wie stellt eine Antivirensoftware sicher, dass sie ein System bereinigt hat.

Vermutung: Die modifizierten Dateien werden gelöscht und entsprechende Prozesse beendet. Anschliessend soll ja das NAS neu gestartet werden. Da wird das Root-Filesystem wieder aus dem Flash geladen.

Zitat von Doc HT

Ist der Malware Remover so schlau, oder die Malware so dumm?

Eher letzteres. Wenn die Malware einmal so gut ist, dass sie Daten im Flashimage manipulieren kann, dann hilft nur noch ein FW-Recovery des Flash/DOM.

Mavalok2 · 16. Juni 2018

Schadsoftware die den Flash/DOM manipulieren kann klingt irgendwie gar nicht beruhigend.

eol1 · 16. Juni 2018

Danke für die Erläuterung. Da die Meldung im geschilderten Fall persistiert, müsste der Malware Remover es ja nicht schaffen, den Schädling wirklich loszuwerden. Also könnte es sein, dass der anderswo im System sitzt, oder eben doch im DOM sitzt.

In beiden Fällen erscheint es so, dass der Schädling sich entzieht. Spannend, wie das hier weitergeht...

nadstefan · 17. Juni 2018

Nur so eine Idee: Vielleicht mal komplett ohne Internet wiederherstellen (Direkt ans NAS anschliessen) und den Malwareremover vorher per Hand runterladen und manuell installieren.

Es sollte natürlich sicher gestellt werden, dass der Laptop oder Rechner sauber ist.

Jagnix · 17. Juni 2018

Mich würde viel mehr Interessieren wie die auf das NAS gekommen ist.

dr_mike · 17. Juni 2018

Jagnix

Einen Hinweis dazu hat Christian in Post5 gegeben.

Da der TE keine Angaben zur FW-Version gemacht hat, lässt sich da auch nur raten.

kerlinggebrueder · 18. Juni 2018

Hallo Leute,

ich habe gerade ein Ticket bei QNAP eröffnet. Mal sehen was passiert.

Gruß, Jörn

Jagnix · 18. Juni 2018

Eine Info was dabei rauskommt wäre nett

eol1 · 18. Juni 2018

Es wäre auch nett wenn man wüßte, ob das NAS aus dem Internet erreichbar war, und wie.

Malware Remover 2.3.x-2.4.0 meldet "malware was detected"

QuTS hero h5.1.6.2734 Build 20240414

QTS 5.1.6.2722 Build 20240402

Vulnerability in XZ Utils

Vulnerability in Network ＆ Virtual Switch

Malware-Fund nach Update auf "Malware Remover 3.3.0"

Neue Malware Remover Version 3.4.0

Malware Remover - Wie lange dauerte ein Scanvorgang

Malware Remover 4.6.0.1

Malware Remover 3.4.1

Screenshots erstellen und im Forum einbinden (Windows)

(Betriebs)- System vs. Systemvolume - Hinweise zum Verständnis

QuDedup: Backup Job neu verlinken - Ein Ritt ins Verderben

VPN - ganz allgemein

[QUICK HOW-TO] Apps manuell auf ein anderes Volume verschieben

Kodi-Headless Server als Docker-Container

Hardware Praxis – „Hör mal wer da surrt“: Ein Erfahrungsbericht aus dem IT-Alltag

Hardware Praxis – Tipps zum Einbau einer neuen Festplatte: Ergänzung

Foren Update im Juli / August geplant

IT-Geschichten – Die verrückte Tastatur