Malware am QNAP NAS vermutet

  • Hallo Community,


    habe in meinem Netzwerk den Standard-Router des Providers gegen ein Ubiquiti Unifi USG-Pro-4 Security Gateway getauscht. Habe jetzt die Möglichkeit, detailliert Intrusion Detection / Prevention zu betreiben.


    Dabei erkenne ich Eindringversuche von außen auf meinen QNAP TS-419P+ auf 192.168.1.12 Ports 80 / 8080 / 8081

    Code
    IPS-Alarm 1: Attempted User Privilege Gain, Signatur: ET EXPLOIT D-Link DSL-2750B - OS Command Injection, Von: 218.89.240.54:32999 - nach: 192.168.1.12:80; Protokoll: TCP, Schnittstelle: eth0

    Habe darauf die statische LAN Adresse des TS von .12 auf .11 geändert, seitdem kommen die Angriffe auf die neue Adresse.

    Code
    IPS-Alarm 1: A Network Trojan was Detected, Signatur: ET WORM TheMoon.linksys.router 1, Von: 5.199.135.153:52881 - nach: 192.168.1.11:8080; Protokoll: TCP, Schnittstelle: eth0


    Es muß also irgend eine Malware am QNAP nach außen funken.


    Habe den Malware Remover installiert, er hat zu Beginn folgendes gefunden und entfernt:

    Code
    127.0.0.1	localhost	[MalwareRemover] 
    The following infected file/folder was found and recovered: /share/MD0_DATA/.qpkg/PBLLTgC/YekLmgui.sh
    The following malicious file/folder was found and removed: /home/httpd//cgi-bin/QTSshare.cgi
    The following malicious schedule was found and removed from the crontab: /mnt/HDA_ROOT/.config/blob/mRlzww
    The following malicious schedule was found and removed from the crontab: /share/MD0_DATA/.IbwkHOIgav/hjEjoutqmG.sh
    The following infected file/folder was found and recovered: /mnt/HDA_ROOT/.config/blob/mRlzww
    The following infected file/folder was found and recovered: /share/MD0_DATA/.IbwkHOIgav/hjEjoutqmG.sh
    The following malicious file/folder was found and removed: /tmp/config//vhuvVQuQBW
    The following malicious file/folder was found and removed: /tmp/.remover_RT9IGR
    The following malicious file/folder was found and removed: /share/MD0_DATA/.log/.cgi_log

    Habe auch Antivirus installiert (http:/www.clamav.net) und einen Auftrag erzeugt, noch keine Rückmeldung.


    Trotz dieser Maßnahmen meldet mein Security Gateway genau und nur auf den QNAP TS nach wie vor Eindringversuche.

    Hat jemand eine Idee / Tipp, wie ich diese Malware am NAS finde?


    lg Karl

  • Am sichersten auf die klassische Art und Weise:


    Datensicherung und sehr guten Scan der Daten ( könnte schwierig werden)


    Rechner scannen


    NAS platt machen


    NAS neu aufsetzen


    Möglichst wenig NAS-Dienste ins www öffnen, lieber externe Server nehmen

  • Kaspersky würde mir nicht reichen. c't desinfect auch nicht wirklich. Also bleibt nur viel Scanarbeit übrig, mit einem Mix an Scannern, einer nach dem anderen...

  • Danke für die raschen Reaktionen; aus euren Vorschlägen entnehme ich, dass ihr es als echten Befall und keinen Fehlalarm haltet.


    Aber was ist es?

    Ein ET EXPLOIT D-Link DSL-2750B, ein WORM TheMoon.linksys.router oder ein Überbleibsel der files, die der Malware Remover entfernt hat?


    Der Antivirus Scan hat übrigens keine Infektion gefunden.


    Steht Deine QNAP nach Aussen - für externen Zugriff - denn im Internet?

    Nein, kein Dienst ist aktiv; lediglich die QNAP eigenen Cloud-Links / myQNAPCloud wegen der dynamischen IP, damit ich von außen zugreifen kann.

    @ Datensicherung: Am NAS habe ich ca. 5TB Daten, die kann man nicht so einfach auf einen PC ziehen. habe aber auf einem zweiten NAS die meisten Daten gespiegelt.

    @ Rechner scannen: alle meine Rechner im Netz sind Apple / Mac OS X; unwahrscheinlich, dass hier etwas zu finden ist; der Angriff gilt nur der LAN-Adresse des NAS.

    @ NAS platt machen / neu aufsetzen: gibt es wo eine ausführliche Beschreibung dafür?


    Noch ein Gedanke: ich habe den UPNP am SecurityGateway aktiviert, es sind Einträge vorhanden, sie stammen alle nur vom NAS (LAN 192.168.1.11 bzw. ...12)


    Name / von / Protokoll / Port / IP weiterleiten / Port weiterleiten


    1435...90ff806dd1f08e7b-Secure Irgendwo TCP 443 192.168.1.12 443
    1435...90ff806dd1f08e7b-Secure Irgendwo TCP 8081 192.168.1.12 8081
    1435...90ff806dd1f08e7b-Secure Irgendwo TCP 8083 192.168.1.11 443
    1435...90ff806dd1f08e7b-Secure Irgendwo TCP 8085 192.168.1.11 8081
    1435...90ff806dd1f08e7b-Web Irgendwo TCP 8080 192.168.1.12 8080
    1435...90ff806dd1f08e7b-Web Irgendwo TCP 80 192.168.1.12 80
    1435...90ff806dd1f08e7b-Web Irgendwo TCP 8082 192.168.1.11 8080
    1435...90ff806dd1f08e7b-Web Irgendwo TCP 8084 192.168.1.11 80
    libminiupnpc Irgendwo TCP 51163 192.168.1.11 51163


    Werde einmal den UPNP Dienst deaktivieren und weiter beobachten; würde gerne strukturiert vorgehen, welche Prozesse laufen, gibt es noch crontab's usw.

    Dafür habe ich aber zu wenig UNIX KnowHow; da bräuchte ich eine helfende Hand ;)


    Erst wenn nichts mehr hilft, möchte ich platt machen.

  • Gutes Vorgehen so. Ich kann dir leider nicht präziser helfen.


    Ich würde mir ein große externe Platte kaufen, die Daten kopieren, dann die Platten aus dem NAS nehmen, an einem Rechner formatieren und komplex überschreiben lassen, und dann das NAS neu aufsetzen.


    Kein Risiko eingehen, falls es doch was ist. Man weiß nie.


    UPnP würde ich immer auslassen. Externen Zugriff nur per VPN, auf dem NAS Let's Encrypt-Zertifikate anlegen, myQNAPcloud würde ich nicht machen, sondern wenn, dann dynv6.com oder einen Zugang über myFritz, falls du eine Fritzbox als Router hast.

  • dass ihr es als echten Befall und keinen Fehlalarm haltet.

    Da Malware Remover etwas entfernt hat: Ja. Fehlalarme in der Form sind mir nicht bekannt.

    Aber was ist es?

    Ein ET EXPLOIT D-Link DSL-2750B, ein WORM TheMoon.linksys.router oder ein Überbleibsel der files, die der Malware Remover entfernt hat?

    Nach Google scheinen dies echte Schädlinge zu sein. Aber vielleicht wendest Du Dich mal an den Support. Die können Dir vielleicht exakt sagen, was diese auf der QNAP anrichten können, bzw. angerichtet haben könnten. Bitte hier im Forum berichten.

    Der Antivirus Scan hat übrigens keine Infektion gefunden.

    Soviel ich weiß, werden hier nur die Daten-Partitionen, aber nicht die Systempartition geprüft. Malware Remover im Gegensatz dazu prüft nur die Systempartition auf bekannte Schädlinge.

    Nein, kein Dienst ist aktiv; lediglich die QNAP eigenen Cloud-Links / myQNAPCloud wegen der dynamischen IP, damit ich von außen zugreifen kann.

    Und somit ist sie von Außen erreichbar und steht auch im Internet. Als erstes wie Jagnix geschrieben hat deaktivieren.

    ich habe den UPNP am SecurityGateway aktiviert

    Für was soll dies gut sein, an einem SecurityGateway? Würde ich hier nie und nimmer aktivieren, egal ob nur für intern und erst gar nicht für extern. Also gleich deaktivieren. Gibt es noch irgendwelche unnötigen Dienste und Dienste die nach Außen Rechte vergeben?


    Welche Firmware ist denn bei Dir installiert? Möglicherweise ist das Ganze durch Sicherheitslücken aufgrund veralteter Firmware entstanden.

    Und die installierten Apps? Auch aktuell?

    Wenn Du mit dem Virenscanner geprüft hast: Definition aktuell?

    Firewall bzw. SecurityGateway: Prüfen ob es hier eine Fehlkonfiguration geben könnte oder eine Türe offen steht.


    Würde das NAS bei mir in der Firma stehen, würde es nur eine Lösung geben: Komplett platt machen, Festplatten löschen, neu aufsetzen und Daten von einem sauberen Backup zurück sichern. In einer Firma kann man sich es nicht leisten mit möglicherweise korrumpierten Daten zu arbeiten und das sind Deine Daten leider.

    Privat geht dies nach eigenem Ermessen. Hätte ich in Deinem Fall ein sauberes und aktuelles Backup würde ich wohl auch platt machen. Wenn nicht, dann gilt es Schadensbegrenzung zu betreiben.

  • Hallo Doc HT

    Ich würde mir ein große externe Platte kaufen

    Ich habe eine Spiegelung auf einem anderen QNAP-NAS


    und dann das NAS neu aufsetzen.

    Wie geht ein NEU aufsetzen?


    Externen Zugriff nur per VPN

    Habe ich früher mit dem NAS gemacht; seit ich das Unifi USG habe, dort per L2TP

    Let's Encrypt-Zertifikate

    Wo / wie bekommt man die?


    Generell möchte ich noch warten; vielleicht kann mir hier noch jemand einen Weg beschreiben, mit dem man die Malware aufspüren und bereinigen kann.

  • Hallo Mavalok2

    Für was soll dies gut sein, an einem SecurityGateway?

    Bzgl. UPNP habe ich der Fa. QNAP vertraut und die verlangt im QTS 4.3 unter myQNAPCloud die UPNP-Portweiterleitung zu aktivieren


    Welche Firmware ist denn bei Dir installiert?

    FW und Apps sind immer am neuesten Stand; Scanner Definitionen sind aktuell;

    Security Gateway ist ein Profi-Teil der Fa. Ubiquiti, neu - erst einige Monate alt und mit aktueller FW; habe - mit Ausnahme der VPN-Einstellungen - noch die Werkseinstellungen.

  • Äh, jetzt bin ich etwas verwirrt. Du hast eine VPN-Verbindung auf Deinen Security Gateway. Wieso dann noch myQNAPCloud? Das wird dann doch gar nicht mehr benötigt. Du kannst mit VPN ja direkt in Dein Netzwerk, was auch viel mehr Sinn macht und sicherer ist. Dann kannst Du auch UPnP deaktivieren. Ganz ehrlich: myQNAPCloud ist ja ganz nett, aber rein sicherheitstechnisch würde ich dies nie benutzen.

    Aber vielleicht bin ich ja zu paranoid. Ach ja, Du bist derjenige mit der Malware. :) Sorry, konnte einfach nicht widerstehen.:saint:

  • läuft bei dir PLEX?

    Nein, was ist das ??


    Äh, jetzt bin ich etwas verwirrt. Du hast eine VPN-Verbindung auf Deinen Security Gateway

    Wie schon oben erwähnt, das USG-Pro-4 habe ich erst seit kurzem; vorher habe ich alles mit QNAP's QTS gemacht: VPN, myQnapCloud usw.

    Jetzt verwende ich das VPN des Gateways und den QNAP-Link noch als DDNS, damit ich meine externe IP bekomme.


    Ach ja, Du bist derjenige mit der Malware.

    Schadenfreude ist nur für eine Seite witzig :cursing:

  • myQNAPCloud ist ja ganz nett, aber rein sicherheitstechnisch würde ich dies nie benutzen.

    Ich nutze aktuell den mir suspekten Dienst auch nicht.

    Abgesehen davon: Warum wird vehement davon abgeraten?

    Die Frames von und zur NAS durchlaufen vermutlich einen Proxy von QNAP oder deren Dienstleister.

    Zwar nicht das Gelbe vom Ei, aber noch zu verschmerzen.

    Welche Sicherheitslücken -vielmehr Bedenken- gibts da noch?

  • Santamaria13 Das ist eher Galgenhumor, denn jeder hofft sowas nie abzubekommen


    Nimm dir einen anderen DDNS-Dienst, ich stimme Mavalok2 zu myqnapcloud zu meiden. und sei es nur um nicht gleich darauf hinzuweisen, welche Hardware du benutzt, Falls sich jemand bei dir einklinken will.


    Plex ist ein Streaming/Konvertierungs-Dienst für die Verbreitung medialer Daten in lokalem und/oder globalem Netz


    Mal kurz OT: Santamaria13 wei schlägt sich das USG bisher? ich spiele mit einer Verbesserung meines WLAN und das wäre mit im Lastenheft bei mir


    eol1 Den Ubiquiti USG