Malware-Fund nach Update auf "Malware Remover 3.3.0"

    Und was steht in euren autorun.sh so drinnen? Bzw. was sollte dort drinnen stehen?


    In meinen drei NASen steht drei mal was anderes drinnen:


    In dem wo die Malware gefunden wurde (TVS-882) und gelöscht wurde steht:


    Bash
    #!/bin/sh

    Im TVS-882T wo angeblich nix ist steht auch nix in der autorun.sh. Das finde ich seltsam, sollte da nicht zumindest sowas wie beim anderen drinnen stehen?


    Und im TS-219p+ steht ziemlich viel drinnen. Aber ich Linus-Niete habe keine Idee was da eigentlich steht.



    Keine der drei Dateien wird derzeit ausgeführt. Zumindest das Hakerl ist nicht gesetzt.


    Wie stelle ich fest, ob beim zweiten NAS nur deswegen nix drinnen steht weil die autorun.sh verschlüsselt ist und die Malware inzwischen auch den Remover ausgetrickst hat?


    Mavalok2 : Die Aktion für McAffee gilt noch, ich werde mir das mal gönnen, die Kosten halten sich im überschaubaren Rahmen.


    Edit: Oder auch nicht. Um das zu kaufen muss das NAS in myQnapCloud registriert sein. Mache ich mir damit nicht schon wieder ein Faß auf wo man dann wieder aufs NAS kommt?

    ich habe wegen diesen Beitrag, beide NAS-Systeme einmal gescannt und werde am WE den Virenscanner vom PC einmal drüber schicken, bisher alles :thumbup:.

    Danke für den Hinweis

    PuraVida


    Ich nutze myQnapCloud auch nicht.

    Aber ohne den Zwang kann vermutlich keine Lizenz über das Lizenz-Center gekauft werden.

    Irgendwie muß man ja den Account verknüpfen.

    Ich hab jetzt nicht den gesamten Thread bis ins Detail verfolgt, aber unabhängig des Scans würde ich das NAS komplett zurücksetzen und die Daten aus einem (hoffentlich sauberen) Backup wieder einspielen. Du hast sonst keine Sicherheit ob nicht Reste auf dem System verbleiben. Auch wenn die Reste vermutlich keinen großen Schaden mehr anrichten können.

    Außer das Ding lädt sich seine fehlenden Routinen selbstständig wieder nach.

    Es wäre halt gut zu wissen wie sauber der Malware-Remover arbeitet. Die Erkennung über Heuristik ist das eine, die Säuberung das andere. Viel Glück jedenfalls.:thumbup:

    Wichtig finde ich dabei PuraVida , ich bin da etwas paranoid veranlagt weil ich dem ganzen MyQnapCloud nicht traue, keine Ports freischalten lassen und den Account auf privat stellen. So kann er nicht über die Suche der App bzw. von MyQnapCloud gefunden werden. Lizenz aktivieren. Die NAS Verknüpfung auflösen. Ich habe dann auch immer mal kurz die Internetverbindug getrennt damit ich eine neue IP bekomme.

    Ich meine irgendwo gelesen zuhaben da die Verknüpfung mit der IP mit der ID 24h bestehen bleibt. Mag zwar alles übertrieben sein, aber bin dann innerlich ruhiger. :)

    dr_mike

    Damit will ich sagen, dass ich aus eigener Anschauung zumindest die ersten beiden von Dir genannten lediglich für Placebos halte.

    Der Malware-Remover scheint offensichtlich seinen Dienst ordentlich zu verrichten und der Security Counselor ist noch nicht fertig.

    Ein etwas dürftiges Bild...

    UdoA wenn ich mir die Prozesse meines angeblich sauberen Systems anschaue, dann würde eher sagen, dass er seinen Dienst nicht ordentlich verrichtet.


    Die Malware scheint weg zu sein mir scheint es aber, als wären die Prozesse noch da, die ihn wieder zurückholen können.

    2 Mal editiert, zuletzt von storageiseverything () aus folgendem Grund: Schreibfehler

    Danke für den Hinweis, gerade getan.

    Meine Antwort heute morgen war etwas kurz und teilweise nicht im Zusammenhang, da ich in Eile war, sorry dafür.


    Letztendlich spiegeln die Antworten meine Meinung wider, dass man ein virenbefallenes System komplett plattmachen sollte und dann mit geprüfter Software neu aufsetzen muss. Mavalok2 schreibt zwar, dass sich Privatanwender das häufig sparen, allerdings halte ich das, zumindest wenn man z.B. Internetbanking über seinen Rechner macht, für grob fahrlässig.


    Worauf ich nur hinauswollte war, dass ich beide für die QNAPs verfügbaren offline Virenscanner für nicht allzu tauglich halte, daher würde ich für den McAfee auch kein Geld ausgeben.

    Der Malwareremover scheint zumindest die bekannte Malware für die QNAPs recht gut zu finden, ob er sie dann auch komplett entfernen kann, wäre für mich zweitrangig, s.o.

    Ob diese Zusammenstellung von Sicherheitssoftware für ein Produkt, dass u.a. auch in Firmen eingesetzt wird ausreicht, muss jeder selbst beurteilen, ich finde es etwas wenig, ein vernünftiger Virenscanner mit guter Detektionsrate gehört für mich zum Grundumfang und es gibt ja auch für Linux einige Gute.


    Grüße aus der verbotenen Stadt... :)

    Zitat von UdoA

    ein vernünftiger Virenscanner mit guter Detektionsrate gehört für mich zum Grundumfang und es gibt ja auch für Linux einige Gute.

    Ich kenne keinen einzigen, der original mit den Besonderheiten der NAS umgehen könnte. (Stichpunkt DOM/Flash)

    Ja, vollkommen richtig, allerdings sollte zumindest der Datenbestand (der ja die Hauptaufgabe eines NAS ist) vernünftig nach Viren durchsucht werden können, und da hapert es leider.

    Erstelle dir einen User auf dem NAS z.B. AV-User mit R/W Rechten auf deinen Ordnern. Erstelle dir Netzwerklaufwerke auf deinem PC und Scanne die Ordner mit einer AV-Anwendung deiner Wahl. Nicht schön, aber als Notnagel gehts. :)

    Ich habe auch eine TS-451, auch im Internet hängen (443), seit mehr als zwei Jahren, 24/7 Betrieb, keine Malware. Habe aber auch keine MusicStation installiert.


    Trotzdem höchst beunruhigend und auch für mich ein Grund an meinen momentan Plan festzuhalten, die NAS vom Internet zu nehmen und stattdessen einen zusätzlichen Server zu verwenden.

    So langsam kommt in mir der Verdacht hoch, das die Apps mit noch heißere Nadel gestrickt sind wie die Firmware. Oder besteht ein Sicherheitsproblem bei MyQnapCloud ?

    Hallo,

    Mein NAS ist/war auch infiziert.


    Ich merkte es als ich Tests mit UPNP machte und meine offenen Ports schaute und erstaunt war das plötzlich mehrere Ports vom NAS auf waren als erwünscht. Vor allem Port 51163 wo ich nicht wusste vorher er kam.


    Netstat zeigte mit als process nur eine pid Nummer an und die pid Nummer gab sich im ps als kworker[0/1] aus.


    Erst ein ls -l /proc/[pid nummer]/exe zeigte mir den realen process der vlChmth.xt hies.


    Die Datei fand sich in /share/CACHEDEV1_DATA/.ghfghkJHj/ wieder, mit anderen daten, alle erstellt am 25.08.2018.

    Mit einer suche auf das Datum fand ich andere Dateien die auch an diesem Tag angelegt worden sind und alle auch recht komische Namen (à la dfjkghdjfk) hatten.


    Einige dieser Dateien ergaben, dass es ich beim port 51163 um eine ssh shell handelt zusammen mit einem public ssh key zum Zugriff. (ein putty auf den port gibt einem auch die shell, Zugriff wurde aber verweigert da ich nicht im besitzt des SSH Schlüssel bin)


    Falls upnp also aktiviert war, war der NAS per ssh shell für den Angreifer verfügbar....


    Nur port 443 war von außen erreichbar immer mit neuester Firmware.


    Die Angreifern scheinen wie hier und in anderen Foren bereits geschrieben folgende Schwachstelle genutzt zu haben die von qnap am 14.09 gefixt worden ist : https://www.qnap.com/en/security-advisory/nas-201809-14


    Die Malware scheint aber leider schon 3 Wochen vorher verbreitet zu sein und auch erst neulich von der neusten version vom Malware Remover entdeckt zu werden (den ich bis jetzt nicht drauf hatte...)


    Ich glaube von dieser Lücke konnten viele Benutzer betroffen sein und qnap sollte hier mehr informieren da man ohne irgendwelche Zugriffsrechte also nur music station installiert zb weil HappyGet2 sie erfordert und web interface per Internet erreichbar ist reicht aus um angreifbar zu sein.


    Ps: Der Malware remover arbeitet leider auch seht unsauber somit kann ich allen die die gleichen Probleme hatten nur raten ein komplettes firmware recovery zu machen.


    Nach dem remove fanden sich noch viele dateien der maleware auf dem system (ssh public key, config files, binaries) und nur verschiedenen scripte wurden bereinigt, im crontab war auch noch immer ein Eintrag auf das infizierte Script, nach manueller Bereinigung der crontab ist der Eintrag wiedererschienen…. (die autorun.sh der dom wurde ja auch verändert und verschlüsselt...)


    Sorry für den riesen Post aber vielleicht kann jemand etwas mit dieser Info anfangen

    LG

    Nick

    Danke für die detaillierte Info.

    Ich bin nicht betroffen, werde aber meine Einstellungen prüfen. Das NAS nehme ich vom Netz. Zugang nur noch über Router und VPN.


    Toolted