Malware-Fund nach Update auf "Malware Remover 3.3.0"

    Hallo,


    hier zur Information für alle - ich habe auf meiner QNAP seit letztem Jahr den "Malware Remover" aktiv. Dieser scannt jede Nacht und hat bisher noch nichts gefunden.

    Gestern abend nach dem Update kamen dann aber gleich mehrere Meldungen.


    Der "Malware Remover" hat die Malware removed und meldet keine weiteren Probleme mehr. Dennoch bin ich mir unsicher bezüglich einiger Prozesse im System.


    Ich habe mich nun entschlossen, die NAS zurückzusetzen und nochmals neu anzufangen.


    Wird zwar etwas Zeit kosten, aber Sicherheit geht vor.


    Wer also noch nicht aktualisiert hat, sollte das dringend tun.


    Grüße


    =O

    Falls Du das NAS noch nicht zurückgesetzt hast wäre es interessant was der Malware Remover im Systemprotokoll dazu schrieben hat. Wäre interessant wenn Du dies hier posten könntest.

    Die gelöschten Dateien sehen ja alle so aus, also ob sie da hingehören könnten. Habe bei mir mal nachgesehen. Bei mir gibt es keine einzige dieser Dateien auf dem System. Allerdings ist die TS-328 ein ARM-Modell und die TS-451 ein Intel. Ich weiß nicht, wie groß der Unterschied hier ausfällt.

    Da hier aber viel *.sh Dateien, also ausführbare Scripte dabei sind...

    Auch deshalb meine Entscheidung, das System platt zu machen. Die Daten habe ich noch.


    Ich hatte Cloudlink aktiv und die Nase war über Portfreigabe im Netz. Passwörter mit 2FA und streng. Die Firmware ist immer aktuell.


    Das neue Setup wird erst einmal nicht ins Netz gehen.


    Naja, ich hätte es besser wissen sollen ...

    Vermutlich. Bei einem normalen durchsehen auf der Konsole wären die wohl kaum aufgefallen.

    Um das herauszufinden, müsste man wissen, welche Dienste (Ports) alles freigegeben waren und wie lange die Malware schon auf dem NAS ist.

    Als ich das TS-653A neu hatte, hatte ich auch mal nur eine Portfreigabe der Fritzbox zum ftp-Server des NAS geöffnet. Während dieser Zeit lief das NAS extrem instabil und bootete ständig neu oder war nicht mehr erreichbar.

    Erst, als ich das abstellte und nur noch den Zugriff über VPN ermöglichte, lief es normal.


    Daher gehe ich davon aus, das die Portfreigabe zum NAS das Problem war/ist. Vermutlich über eine Zero-Day Lücke.

    Jagnix : Das ist nun genau meine Strategie. VPN gibt es - und das wird (vorerst einmal) das einzige Tor zum Server.


    UdoA : Wer weiß. Das oder Cloudlink.


    Mavalok2 : Die aktuelle Firmware. Benachrichtigung über neue kam per E-Mail und diese wurde dann immer installiert.