Neue Malware Remover Version 3.4.0

    Dann bleibt mir wohl nur Neuaufsetzen des Systems.

    Backup ist vorhanden.

    Ist das möglich, ohne alle Benutzer etc. neu anlegen zu müssen? Gibt es eine Anleitung für Anfänger?

    Zitat von Eckfahne

    Ist das möglich, ohne alle Benutzer etc. neu anlegen zu müssen?

    Wenn du vorher unter "Systemkonfiguration" eine Sicherung angelegt hast, bleiben alle Benutzer, Einstellungen usw. erhalten.


    Lg

    Also wenn ich den Verdacht habe (oder sogar die Gewißheit), das mein NAS mit irgendeiner Malware befallen wurde,

    dann würde ich definitiv nichts, aber auch gar nichts, aus einer Sicherung zurückholen!


    Entweder ist die Sicherung relativ aktuell, dann aber wahrscheinlich auch verseucht, oder sie ist sehr alt, dann ist die Frage ob tatsächlich der aktuelle Zustand mit dem damaligen übereinstimmt.


    Aber das muss jeder für sich selbst entscheiden.


    Gruss

    Die Konfiguration würde ich dann auch nicht zurück spielen, da ist ggf. wieder ein Skript drin was den Virus nach läd.


    Aber die Daten auf der BU HD werden eine weit aus geringere Gefahr darstellen.

    Von Autostart und den damit einhergehenden Problemen habe ich bei Linux/UNIX bisher noch nicht viel gelesen.

    Im Moment häufen sich die Meldung bezüglich Malware-Befall. Es scheint sich hier nicht mehr um Einzelfälle zu handeln:

    Antivirus hat Virus gefunden - was tun?

    Malware-Fund nach Update auf "Malware Remover 3.3.0"

    und noch einige mehr.

    Dabei ist Linux an und für sich recht sicher. Nur direkt ins Internet stellen kommt einfach nicht gut:

    Sicherheitstipps für Beginner

    Zugriffsschutz für QNAP Beginner


    Hier wurde ja auch schon diskutiert, dass der DOM/Flash auch gesäubert werden muss. Schließlich dürfte dies der interessanteste Ort für eine Schadsoftware sein, da hier die höchste Chance dafür besteht einer Säuberung zu überstehen.

    Vom verseuchten NAS sollte tunlichst nichts mehr übernommen werden. Backups würde ich vorgängig mit zusätzlicher Virensoftware, z.B. die des Desktop-PCs ausgiebig auf höchster Stufe prüfen lassen. Nach Möglichkeit von mehreren verschieden Scannern.

    So bin ich den Virus losgeworden.

    Achtung ! nachmachen auf einegne Gefahr ! ich übernehme keine Verantwortung für Schäden infolge der nachfolgende Hinweise.


    Zunächst aus der QNAP-Webseite die allerletzte Firmware (Zip Datei) herunterladen.

    Aus der WEB-Oberfläche ggf. den "falschen" MalwareRemover (bei mir vers 9.0.0) mit dem AppCenter deinstallieren.


    Dann mittels z.B: Putty (https://the.earth.li/~sgtatham/putty/latest/w64/putty.exe ), Anmeldung mit "admin" und dem zugehörigen Passwort, SSH-Protokoll muss in ->Systemsteuerung -> Netzwerk- & Dateiservices aktiviert sein; Anmeldung via SSH-Protokoll Standardport 22.


    crontab -l

    In der Ausgabe nach einen Eintrag derart suchen (es muss nicht unbedingt genau gleich sein, fängt aber mit einen Punkt an gefolgt von eine zufällige Folge an Zeichen) :

    Code
    30 * * * * /share/CACHEDEV1_DATA/.iODhcsiinRKoaeD/KlflkkyfCsmdbW.sh > /dev/null 2>&1

    Falls fündig dann

    mit

    crontab -e

    den crontab editieren und die obige Zeile löschen (cursor drauf un dd)

    Editor verlassen mit :wq

    mit

    vi /mnt/HDA_ROOT/.config/crontab

    das Ur-Crontab öffnen, die gleich Zeile suchen und wenn vorhanden ebenfalls löschen (dd)

    Editor verlassen mit :wq


    dann -der komische Name .iODhcsiinRKoaeD muss natürlich ersetzt werden, mit dem was in crontab gefunden wurde!-

    rm -rf /share/CACHEDEV1_DATA/.iODhcsiinRKoaeD !!!!hier .iO.... ersetzen

    mit ll /share/CACHEDEV1_DATA/ suchen ob mehr solche komische Einträge mit .zufälliche Buchstaben vorhanden sind.

    Jeder davon mit

    rm -rf /share/CACHEDEV1_DATA/.balabla

    entfernen.


    dann die Reste des falschen MalwareRemover loswerden

    chattr -i /share/CACHEDEV1_DATA/.qpkg/MalwareRemover/modules/*

    chattr -i /share/CACHEDEV1_DATA/.qpkg/MalwareRemover

    rm -rf /share/CACHEDEV1_DATA/.qpkg/MalwareRemover


    Die nächsten Schritte habe ich vom QNAP-Support mitgeteilt bekommen :

    Zitat von QNAP Support

    curl https://download.qnap.com/Stor…/utility/derek-be-gone.sh | sh

    Dies repariert den AppCenter, wird den Malware Remover Installieren und automatisch einen Scan inklusive Säuberung starten.

    Dann der Firmware update aus der ZIP-Datei aus der Web-Oberfläche durchführen.

    WICHTIG: Danach müssen sie unbedingt alle NAS User Passwörter ändern und das NAS neu starten.

    Soll ich das durchführen, auch wenn bei mir kein MalwareRemover Version 9 drauf ist?


    Was ist das für eine Datei im Zitat von Qnap und was soll man damit machen?

    Kann man das nur mit dem original-Admin-user machen? Den habe ich nämlich deaktiviert und einen neuen kreiert.


    bei mir ausgegeben: crontab: must be suid to work properly

    Unbenannt-1.jpg


    Beim Durchschauen meiner Einstellungen ist mir aufgefallen, dass hier ein fremdsprachiger Eintrag ist.

    Der Link aus Posting #28 führt zum Downlad der Datei


    derek-be-gone.sh


    Was mache ich jetzt damit? Wohin muss ich diese Datei schieben?

    Da bei mir in der autorun.sh keine Malware ist, würde mich interessieren, ob es evtl. bei mir reicht, nur diese Datei "derek-be-gone.sh" auszuführen?


    Da es vorher nicht beantwortet wurde: Kann ich putty.exe nur mit dem Original-Admin bedienen?

    Zitat von mw1972

    Kann ich putty.exe nur mit dem Original-Admin bedienen?

    Du kannst in Putty den Benutzernamen und Passwort verwenden, welches du angegeben hast. ;)

    Du kannst das script ausführen lassen, wenn Du Dich mit Adminrechten angemeldet hast.

    Punkte entfernt und e funktionierte bei mir.

    Du kannst doch den admin wieder aktivieren.

    War es nicht sogar so, das nur der built-in admin sich über SSH anmelden konnte?


    Gruss